VulnHub DC-2 靶机渗透测试中，如何找到并利用特定漏洞进行攻击？

🛡️ DC-2 靶机渗透测试笔记 靶机系列：DC | 难度：初级~中级 | 类型：WordPress + rbash逃逸 + git提权 📌 目录 主机发现 端口扫描 信息收集 目录扫描 WPScan 用户枚举 cewl 字典生成 + 密码爆破 SSH 登录 + rbash 逃逸 git 提权 🔍 主机发现 使用 nmap 对整个网段进行存活探测： nmap -sn 192.168.67.0/24 🔎 端口扫描 nmap 速度参数说明 参数 含义 T1 最慢，几乎不会触发防火墙告警 T2 慢 T3 默认速度 T4 快，靶机环境常用 ✅ T5 最快，但容易丢包漏扫 使用 -p- 全端口扫描： nmap -A -T4 -p- 192.168.67.132 扫描结果发现开放了 Web（80） 和 SSH（7744） 两个端口。 🌐 信息收集 配置 hosts 解析 直接访问ip url变成了dc-2 由于靶机使用域名 dc-2，需要在本地 hosts 文件中添加解析。 Windows 路径：C:\Windows\System32\drivers\etc\hosts Linux 路径：/etc/hosts Linux 系统可以使用以下命令添加解析： echo "192.168.67.132 dc-2" >> /etc/hosts Windows 系统需要以管理员身份打开记事本编辑 hosts 文件，添加以下行： 192.168.67.132 dc-2 在网页底部可以看到 CMS 指纹信息： 使用 WhatWeb 识别 CMS whatweb -v http://dc-2 插件识别结果： 确认使用的是 WordPress CMS，版本信息已获取。 浏览网页，看到flag1 💡 Tips：WhatWeb 是一款 Web 应用指纹识别工具，能识别 CMS、框架、服务器类型、JS 库等信息，是信息收集阶段的常用工具之一。 📂 目录扫描 dirsearch -u http://dc-2 发现 WordPress 后台登录页面： http://dc-2/wp-login.php 🔧 WPScan 用户枚举 WPScan 是一款专门针对 WordPress 网站的黑盒扫描器，是渗透测试中处理此类 CMS 的"行业标准"工具。 常用命令 # 获取版本信息 wpscan --url http://dc-2 # 扫描插件 wpscan --url http://dc-2 --enumerate p # 枚举用户 wpscan --url http://dc-2 --enumerate u 枚举到三个用户，保存到 users.txt： echo -e "admin\ntom\njerry" > users.txt 🔑 cewl 字典生成 + 密码爆破 cewl 介绍 cewl（Custom Word List generator）是一个非常独特的自定义字典生成工具。 在渗透测试中，如果常规字典（如 rockyou.txt）爆破失败，渗透者会使用 cewl 针对目标网站进行"定制化"攻击。 工作原理： 爬取网页：像浏览器一样访问你指定的 URL 提取单词：抓取网页上所有的文字内容，并把每一个单词提取出来 去重并汇总：自动删掉重复的词，并过滤掉太短的词（默认少于 3 个字母不要），最后生成一个专门针对该网站的"词汇表" cewl http://dc-2 -w passwords.txt WPScan 密码爆破 wpscan --url http://dc-2 -U users.txt -P passwords.txt 🎉 爆破成功，获得两组凭据： [!] Valid Combinations Found: | Username: jerry, Password: adipiscing | Username: tom, Password: parturient 💻 SSH 登录 + rbash 逃逸 登录尝试 使用 jerry 和 tom 分别尝试登录后台，发现 jerry 登录能看到 flag2： 接下来尝试 SSH： 可以用xshell连接，也可以直接用命令行： ssh tom@192.168.67.132 -p 7744 jerry 登不上 SSH tom 可以登录 ✅ rbash 限制 登录后发现是 rbash（受限 shell），很多命令无法使用，路径被限制，/ 被禁止。