vulnhub靶机DC-2渗透分析
字数 1078 2025-08-15 21:31:30

DC-2 靶机渗透分析教学文档

1. 信息搜集阶段

1.1 网络扫描

ARP扫描

sudo arp-scan -l
  • 用于发现本地网络中的活动主机
  • 可以确定目标IP地址

Nmap端口扫描

nmap 192.168.100.147 -p 1-65535
  • 全面扫描所有65535个端口
  • 确定开放的服务和端口

目录爆破

dirb http://192.168.100.147 /usr/share/dirb/wordlists/big.txt
  • 使用dirb工具扫描网站目录
  • 可以使用不同的字典文件(big.txt只是其中一个选项)

1.2 访问问题解决

  • 如果直接访问网页失败,可能需要设置本地代理
  • 通过代理设置后可以正常访问并看到flag提示

2. 用户名爆破阶段

2.1 使用CEWL生成字典

cewl -w passwords.txt http://dc-2
  • cewl是Kali Linux自带的爬虫工具
  • 自动爬取给定URL并生成密码字典
  • -w参数指定输出字典文件名

2.2 WordPress扫描

WPScan简介

  • Ruby编写的WordPress漏洞扫描工具
  • 可扫描WordPress本身、插件和主题的漏洞

常用选项

--update               更新到最新版本
--url | -u <target url> 目标URL
--force | -f           不检查是否是WordPress
--enumerate | -e [option(s)] 枚举

枚举选项

u       枚举用户名(默认1-10)
u[10-20] 枚举指定范围的用户名
p       枚举插件
vp      只枚举有漏洞的插件
ap      枚举所有插件(耗时)
tt      枚举缩略图相关文件
t       枚举主题信息
vt      只枚举有漏洞的主题
at      枚举所有主题(耗时)

2.3 实际操作

枚举用户名

wpscan --url <url> --enumerate u
  • 发现三个用户:tom、jerry、admin

密码爆破

wpscan --url <url> -P passwords.txt
  • 使用之前生成的字典进行爆破
  • 成功获取tom和jerry的凭据

3. 登录与初步渗透

3.1 WordPress登录

  • 使用tom登录WordPress后台
  • 没有发现有用信息
  • 使用jerry登录时提示"希望我用另一种方式登录"

3.2 SSH登录

  • 虽然SSH默认端口是22,但可以修改为其他端口
  • 使用jerry凭据通过SSH登录成功

4. 提权阶段

4.1 受限Shell绕过

  • 发现处于受限的rbash环境
  • 使用以下命令绕过限制:
BASH_CMDS[a]=/bin/sh;a
export PATH=$PATH:/bin/
export PATH=$PATH:/usr/bin
  • 成功绕过后可以查看flag3

4.2 权限提升

检查sudo权限

sudo -l
  • 发现有几个文件夹可以不用密码执行
  • 其中git目录可用于提权

Git提权

  • 参考Linux提权技术
  • 利用git的sudo权限进行提权

5. 关键知识点总结

  1. 信息搜集:使用arp-scan、nmap和dirb进行全面扫描
  2. 字典生成:cewl工具从网站内容生成密码字典
  3. WordPress扫描:WPScan的枚举和爆破功能
  4. 受限Shell绕过:通过环境变量和BASH_CMDS绕过rbash限制
  5. 权限提升:利用sudo权限配置不当进行提权

6. 工具清单

  • arp-scan:网络主机发现
  • nmap:端口和服务扫描
  • dirb:目录爆破
  • cewl:密码字典生成
  • wpscan:WordPress漏洞扫描和爆破
  • ssh:远程登录
  • git:权限提升工具

7. 防御建议

  1. 限制WordPress用户枚举
  2. 使用强密码策略
  3. 限制SSH访问
  4. 避免使用默认端口
  5. 合理配置sudo权限
  6. 监控和限制敏感命令的执行
DC-2 靶机渗透分析教学文档 1. 信息搜集阶段 1.1 网络扫描 ARP扫描 : 用于发现本地网络中的活动主机 可以确定目标IP地址 Nmap端口扫描 : 全面扫描所有65535个端口 确定开放的服务和端口 目录爆破 : 使用dirb工具扫描网站目录 可以使用不同的字典文件(big.txt只是其中一个选项) 1.2 访问问题解决 如果直接访问网页失败,可能需要设置本地代理 通过代理设置后可以正常访问并看到flag提示 2. 用户名爆破阶段 2.1 使用CEWL生成字典 cewl是Kali Linux自带的爬虫工具 自动爬取给定URL并生成密码字典 -w 参数指定输出字典文件名 2.2 WordPress扫描 WPScan简介 : Ruby编写的WordPress漏洞扫描工具 可扫描WordPress本身、插件和主题的漏洞 常用选项 : 枚举选项 : 2.3 实际操作 枚举用户名 : 发现三个用户:tom、jerry、admin 密码爆破 : 使用之前生成的字典进行爆破 成功获取tom和jerry的凭据 3. 登录与初步渗透 3.1 WordPress登录 使用tom登录WordPress后台 没有发现有用信息 使用jerry登录时提示"希望我用另一种方式登录" 3.2 SSH登录 虽然SSH默认端口是22,但可以修改为其他端口 使用jerry凭据通过SSH登录成功 4. 提权阶段 4.1 受限Shell绕过 发现处于受限的rbash环境 使用以下命令绕过限制: 成功绕过后可以查看flag3 4.2 权限提升 检查sudo权限 : 发现有几个文件夹可以不用密码执行 其中git目录可用于提权 Git提权 : 参考Linux提权技术 利用git的sudo权限进行提权 5. 关键知识点总结 信息搜集 :使用arp-scan、nmap和dirb进行全面扫描 字典生成 :cewl工具从网站内容生成密码字典 WordPress扫描 :WPScan的枚举和爆破功能 受限Shell绕过 :通过环境变量和BASH_ CMDS绕过rbash限制 权限提升 :利用sudo权限配置不当进行提权 6. 工具清单 arp-scan:网络主机发现 nmap:端口和服务扫描 dirb:目录爆破 cewl:密码字典生成 wpscan:WordPress漏洞扫描和爆破 ssh:远程登录 git:权限提升工具 7. 防御建议 限制WordPress用户枚举 使用强密码策略 限制SSH访问 避免使用默认端口 合理配置sudo权限 监控和限制敏感命令的执行