DC-2教程

1. 启动靶机，打开kali

2. 使用arp-scan扫描网络

1. 使用nmap对10.0.0.120进行扫描

发现它打开了80端口

1. 根据官方的说明文档，我们需要在Windows的hosts文件下添加DNS解析

1. 在浏览器中输入http://dc-2/可以打开网页服务

1. 使用wappalyzer

发现其管理系统主要使用WordPress

1. 点击flag我们可以查看flag1，提醒我们使用字典爆破

1. 一般来说wp的默认登录界面是wp-login.php，我们在浏览器地址栏进行尝试

结果发现并没有登陆界面，但是弹出了一个搜索框

1. 我们在搜索框中搜索login

1. 发现下面有一个log in的搜索结果，我们点进去就发现了搜索界面

1. 根据提示，使用WPScan扫描一下用户

可以看到有以上这些用户

1. 将看到的用户写入一个自己创的文件

1. 根据提示用户来生成字典

1. 使用WPScan进行爆破

1. 然后可以看见爆破结果

1. 使用账号和密码进行登录

1. 在网络上随便点击一下搜集一下信息，我们可以找到flag2

提示寻找另外一个切入点

1. 从刚才的扫描可以得知，该网站除了开放了80端口外，还开放了一个7744的ssh端口

我们可以从这里来试一下

1. 这里我们使用hydra和刚刚已生成的密码字典，对已知的用户名进行ssh登录密码的爆破

可以看到爆破的用户名和密码

1. 我们使用tom进行ssh登录

可以看见已经成功的登录到了tom用户上

1. 我们先来看看目录下面有哪些文件

可以找到flag3

1. 使用cat命令查看，发现无法使用，那么我们使用echo $PATH查看当前路径，再使用ls usr/bin查看目录结构，发现我们 可以使用less ls scp vi这几个命令

1. 使用vi打开flag3.txt文件

这里提示我们使用su来切换到jerry来找到进一步的线索

1. 现在需要想办法使用切换用户的命令。调用/bin/sh命令解释器，输入BASH_CMDS[a]=/bin/sh，然后切换环境变量，输入export PATH=PATH:/bash，然后在输入cat flag3.txt，我们可以看到已经可以使用该命令了

1. 接下来使用su切换用户，输入su jerry然后再输入刚刚爆破出的密码切换到jerry用户

可以看到用户切换成功

1. 切换至jerry的目录，发现flag4.txt

1. 查看flag4的内容

文件提示我们使用git命令

1. 输入sudo -l发现可以使用git命令，可以使用root权限，但不需要root密码

1. 接下来使用git提权，输入sudo git help config

1. 然后在编辑模式下输入!/bin/sh即可看到提权成功

1. 输入whoami，看到目前已经是root权限

1. 使用passwd root来修改root用户密码

1. 回到刚刚的位置然后切换至root用户

1. 进入/root下可以找到最后一个flag，打开flag