前言

已经有一段时间没有搞站了，因为一个人要管一整个某个***云的安全加运维，有时候真的有一些负面的情绪，难道所谓的奋斗就是把趁着年轻多做一些脏活累活吗？以甲方为主的目的是尽全力去实现他们要求的业务需求，不是外包的保姆机构。说多了都是泪，假装日个站吧！！！！！！

1.靶机环境介绍

本靶机是由著名的靶机提供商vulnhub提供，官网连接请点击（https://www.vulnhub.com/），想做就去找吧，这里面啥靶机都有。

本靶机镜像地址：https://www.vulnhub.com/entry/dc-2,311/

本次实验使用虚拟机vmware 16 ，靶机DC-2,攻击机kali。

2.实战DC-2靶机

2.1 信息收集

实战搞靶机一定要搞清楚知识点......，本次靶机共有5个知识点，需要获取5个flag

基本信息探测，域名访问，暴力破解（利用用户密码获取网站后台），系统提权，获取root权限
使用工具netdiscover扫描IP地址

?sudo netdiscover -i eth0 -r 192.168.163.1/24 # 扫描IP网段信息

?获取了IP信息以后进一步获取IP地址包含的其他信息

sudo nmap -v -sV -sS -A -p- 192.168.163.115

?访问地址192.168.163.115会出现地址（dc-2），根据IP扫描的结果出现[http-title:Did not follow redirect to http://dc-2/]，由此判断需要手动配置hosts文件

配置hosts文件，攻击机使用的kali，kali上该文件的目录为[/etc/hosts]

?当再次访问dc-2的时候就会出现这个页面

?至此flag1的提示信息如下所示，下列的文字提示需要我们使用cewl生成一个字典，也提示了flag的位置

2.2 靶机实验-flag1

目录扫描

此步骤是本人基本上必做的一步，有时候能收集到很多的信息

dirb http://dc-2/

获取到了敏感目录：http://dc-2/wp-login.php?redirect_to=http%3A%2F%2Fdc-2%2Fwp-admin%2Fnetwork%2F&reauth=1

?根据信息收集发现网站使用了开源CMS（wordpress），使用kali集成的wpscan工具，先来爆破一波用户名

wpscan -e u --url http://dc-2?

通过扫描获取了三个用户名?

使用cewl生成密码

cewl是一个密码攻击工具，采用ruby开发，爬取指定url的信息，可以调整爬行的深度，结果会返回一个单词列表，可以使用生成的列表对网站后台登录口进行爆破。

cewl http://dc-2/ -d 3 > dc-2.txt # -d参数是指定爬行的深度，生成密码字典dc-2.txt

然后使用刚才获取的用户名保存为一个用户名字典（dc-2-user.txt），然后开始爆破，最终的爆破结果如下。

wpscan --url http://dc-2 --passwords /home/jietewang/dc-2.txt --usernames /home/jietewang/dc-2-user.txt

?[!] Valid Combinations Found:
?| Username: jerry, Password: adipiscing
?| Username: tom, Password: parturient

使用获取到的用户名密码登录后台，发现了flag2的提示信息

2.2 靶机实验-flag2

在上一步已经完成了flag1，并且获取了flag2的信息

提示的内容为如果不能利用WordPress的话，这儿有另一种方法，希望你能寻找到其他切入点，根据前文中利用nmap扫描端口获取到的信息，发现主机开放了ssh端口为7744，尝试爆破一波。?

使用hydra工具进行爆破，发现存在用户名（tom）和密码（parturient）

hydra -L /home/jietewang/dc-2-user.txt -P /home/jietewang/dc-2.txt -vV -o ssh.log -e ns ssh://192.168.163.115:7744?

# 参数详解?

-L 指定用户名文件

-P 指定密码文件

-v/V 打印爆破的详情

-o 将爆破结果保存为ssh.log文件

-e 空密码探测和指定用户名探测(ns)