DC-2靶机通关

        最近一段时间我将会持续更新DC系列的靶机通关过程，大家如果也有正在玩儿这些靶机的可以关注一下作者，欢迎大家一起讨论学习！！！        

1.实验环境：

攻击机：kali2023.2

靶机：DC-2

2.1扫描网段内的主机：

2.2扫描靶机开放端口等信息：

这里可以发现主机开放了两个端口一个80端口，一个7744端口，这里我一开始并没有很在意7744这个端口，可能是因为我经验不足一开始并不知道这是个什么玩意儿！！！

3.1查看靶机80端口的web服务：

这里插一句，我们一开始直接浏览的时候会发现进不去192.168.6.130，因为他将地址重定向到了dc-2，所以要将dc-2添加到hsots文件中去，大家进不去的话可以这样搞一下！这个文件的路径是 /etc/hosts：

然后我们再去浏览网页就可以进去了：

这边进来之后我们可以发现一个flag，很显眼，我们点进去看一下：

我给大家翻译一下这句话，就是说我们通常用的字典可能不管用完了以后要用 cewl 这个工具爬一遍这个网站，然后生成一个密码字典用来爆破，相当于间接告诉我们密码了！这里我一开始用百度的翻译翻译出来太官方了，导致我完全看不懂这段话的意思，所以英语口语的学习还是有必要的！！！

3.2使用 cewl 生成密码字典：

这条命令的意思是 使用这个软件爬一遍这个网站获取密码，然后将得到的密码写入到 dc-2.txt 这个文件中去！具体这个软件的用法大家可以去自行搜索一下，也不难！     ok，这里已经获取成功了，并且可以发现一共有238个密码

4.1爆破

这个网站我们很容易发现用的是wp框架，那么首先我们找到他的登陆页面：dc-2后面加/wp-admin/，一般wp的网站都是这个，如果不是的话我们可以到网上搜索一下即可。

然后我们根据经验拿admin账号进行爆破一下先，首先拿bp抓一下包然后用刚刚的密码字典进行爆破，这里会发现爆破不出来，然后既然密码是他给的那一定没有问题，问题只能出在账号上，因为这个账号本来也是我们根据经验猜的！

4.2使用wpscan获取网站账号：

这条命令的意思是使用wpscan 进行爬取所有的用户名：

ok，我们拿到三个用户，admin是已经试过不行的，那么接下来直觉告诉我们肯定就是jerry和tom这两个用户名可以用刚刚的密码字典进行爆破！

4.3用burpsuit对Jerry和Tom进行爆破：

首先我们随便登一个账号然后抓一下包：

这里我们对用户名和密码都打断点，然后设置好参数：

设置payload时会有两个参数，第一个是用户名，第二个是密码，我们来设置一下：

设置好以后就可以让他跑了：

这是我跑出来的结果！！！

然后我们就可以拿着两个账户去进行登录！

4.4利用爆破出来的账号寻找有用信息：

用这两个账号找了半天就发现这些，翻译之后的意思大概就是让我们重新寻找切入点，不要再对wordpress进行研究了。

这个时候我就呆住了，然后看完提示以后才想到之前的那个7744端口，还记得吗？

然后这里我们对7744进行重回新扫描，可以单独用一些脚本例如banner啊啥的，但是这里我们为了方便，以后我们直接-A 获取所有信息！！！

这样就一目了然了，这是ssh服务，那我们尝试一下远程登陆！！

5.1ssh远程登陆

ok，Jerry登不上

Tom可以登上

ok，到这里我觉得算一个难点了，会发现这个shell是一个受限的shell，他是rbash，并不是bash

然后看一下可以使用那些命令

最后我通过查阅资料以后发现这里其实涉及到一个大的知识点叫做 rbash逃逸，他的方法有很多，后面详细学习时会出一篇单独的文章来说这个！！！

经过反复尝试后我才用vi成功逃逸！

6.1vi  rbash逃逸

进入vi后在命令模式下输入：

回车后再输入：然后回车

我们其实目的是为了通过tom的账号去切换到Jerry的帐号，这里我们操作完后发现可以进行cd命令的操作了：

然后我们尝试进入Jerry这个文件夹：

然后找到了flag4.txt！

我们还是不能进行su jerry 切换账号，所以目前我们还是在一个受限的shell中，只不过比之前那个稍微强一点了！

在后面我们可以看到现在可以用 export这条命令了，嫌我们导入一下环境变量：

6.2登录Jerry账号：

ok上来了，查看一下可不可以suid提权：

没有我们常用的，例如dc1的find这种！

然后我们看一下有没有可以sudo的命令：

欧克 ，有一条命令 ，并且可以无密码使用，那基本就是他了，我们锁定它现在！

7.1git提权

   欧克了成功提权拿到root权限！！！

成功拿到折后的flag，这期就到这里，欢迎大家在评论区及交流讨论！！！

持续更新中~~~