VulnHub靶机渗透之DC:2

今天来搞DC-2这个靶机，下载地址https://download.vulnhub.com/dc/DC-2.zip，这个靶机与DC-1一样，最终目标是拿到root shell，作者为了降低单独设置了4个flag做为提示。

首先肯定是nmap扫描了，靶机开放了80和7744端口，并且识别出了7744端口为ssh服务。

浏览器打开页面来进一步收集信息，页面上已经说明了这是一个wordpress站点。

在页面上看到了第一个flag，这里提示我们要登陆后才可以找到下一个flag。

利用WPscan扫描吧，但是最新版本的WPscan在kali上运行报错，所以我在另一个linux虚拟机上安装了WPscan，并对站点进行了扫描。

扫描结果中找到了admin,jerry和tom三个用户名。

利用cewl从网站中抓取单词生成密码字典，再利用metasploit对三个用户名进行暴力破解。也可以用hydra来暴破。

得到了tom和jerry两个账号的密码。

登录网站后台，找到flag2。

查看flag2的内容，提示除了搞定WordPress外，还有另一个途径。

放弃WordPress，开始从ssh着手，利用得到了两个用户名及密码尝试登录ssh，最后tom账号成功登录。但是得到的不是bash shell，很多命令用不了，而且无法修改环境变量。

利用vim进行绕过，方法与我第一篇文章《第一次vulnhub靶机的渗透》差不多，先利用vim打开一个文件。

然后在vi中获得一个新shell。

得到新shell后，通过export查看环境变量。

修改PATH变量，增加路径。

修改后就可以使用全部命令了，查看/etc/passwd，可以看到除了tom外还有一个jerry用户，利用之前得到的密码试试是否可以切换用户。

成功切换为jerry用户，并在jerry的目录下找到了flag4，这里提示利用git可以得到root shell，具体办法不太清楚，因为贸易战的原因，这几天被和谐了，谷歌用不了，还好在百度上找到了安全客中的一篇文章，学习了方法。

利用https://gtfobins.github.io/gtfobins/git/中提到的方法顺利提权，得到root权限。

总结：

1. 在大多数的情况下，同一个账号和密码可能会在不同的平台下试用，得到密码后多尝试，也许会轻松拿下很多目标。
2. 通过vi拿shell的技巧比较典型，需要熟练掌握。