实验环境：DC-2靶机，kali linux攻击机，win10辅助机

靶机：
链接：https://pan.baidu.com/s/1naWHuZDDwWOI2zqO6vG6OA 提取码：rkzw

1、kali主机扫描内网存活主机

查询kali主机的ip地址：192.168.246.130

创建DC2专用文件夹

开始扫描

继续具体扫描目标主机 开放的端口

目标系统开放了80端口与7744端口

开放了80端口，用浏览器访问ip地址，发现网页打不开，但是网址重定向为http://dc-2

所以需要在物理机中修改hosts文件。
如：

然后再输入ip地址访问网站即可打开

kali主机中也需要修改hosts文件

发现目录存在分级，所以可以进行目录扫描

存在wp-includes目录，打开发现目录中无可用信息，只得知网站的语言是php

发现flag标志

意思为可以使用cewl进行网站有用信息的爬取，然后再进行爆破登录后台
爬取密码信息命令为

cewl dc-2 >passwd.dic

2、使用wpscan扫描WordPress存在的漏洞。

Wpscan --url dc-2

使用下面命令得到更加详细的用户信息

Wpscan --url dc-2 -e u

创建用户名字典user.dic，里面的内容即为admin，Jerry，Tom。

账密进行爆破

可以是使用burpsuite，hydra等工具，这里使用wpscan

Wpscan --url dc-2 -U user.dic -P passwd.dic

通过百度可知WordPress网站后台登录地址为wp-login.php

使用tom的账号与密码进行登录，发现没有可用信息。

然后使用Jerry的账号进行登录，密码为adipiscing

可以发现有flag2

意思就是这个方法行不通，可以寻找其他途径进行渗透。

回到开始的信息扫描出，发现目标主机开放了7744端口，显示上面支持的协议为ssh协议，所以尝试在攻击机上使用用户名与密码字典进行爆破。

使用hydra命令

hydra -L user.dic -P passwd.dic ssh://192.168.246.139 -s 7744 -o
hydra.ssh -vV

-vV显示爆破信息

爆破出用户名为tom，密码为parturient

使用ssh登录

ssh tom@192.168.246.139 -p 7744

然后输入yes，接着输入密码登录成功。

接着输入ls发现flag3.txt,使用cat进行查看。

发现输出-rbash，表示不允许执行某些命令。

现在需要绕过限制

BASH_CMDS[a]=/bin/sh;a
/bin/bash

发现还是cat命令还是找不到·，但是已经进入了bash目录。

现在需要导入环境变量。

export PATH= P A T H : / b i n / e x p o r t P A T H = PATH:/bin/ export PATH= PATH:/bin/exportPATH=PATH:/usr/bin/

现在可以查看flag3.txt

要求需要使用jerry账户，现在查询etc目录中的passwd
发现有jerry账户

允许在/bin/bash/目录下登录jerry

尝试直接su jerry看能否登录。

输入密码，登录成功

cd自己根目录，发现flag4.txt

提示需要root用户才能够访问最终的flag。进入根目录发现root文件夹

但是无权访问，现在需要进行提权，根据提示使用git进行提权。

3、提权

查看具有root权限的命令

执行命令sudo -l发现

发现git具有root权限，但不需要输入密码
如

git提权
sudo git -p --help

强制进入交互状态，让页面缓冲区无法显示全部信息（缩小页面大小或者放大字体，这是关键）

接着调用bin下的bash

!/bin/bash

查看权限

查看最后的flag