文章总结： 本文详述DC-2靶机渗透，通过信息收集与hosts配置访问Web。利用CeWL生成字典并使用WPScan爆破WordPress账号，SSH登录后绕过rbash限制。最终利用sudogit配置漏洞提权至Root。演示了弱口令、定制字典及Linux提权技巧，强调了配置安全的重要性。 综合评分： 85 文章分类： 渗透测试,WEB安全,实战经验

---

《不用漏洞也能拿下 Root？DC-2 靶机完整攻击链实录》

原创

蜡笔小qian

黑客映像馆

2026年1月5日 19:39 湖北

DC-2的靶机下载地址为：

https://www.vulnhub.com/entry/dc-2,311/

一、信息收集：从“活跃主机”开始

第一步依旧是老朋友 —— Nmap。

通过扫描内网活跃主机，很快发现目标：

紧接着对目标主机进行端口扫描，结果非常“干净”：

• 80 → HTTP 服务
• 7744 → SSH 服务（非默认端口）

这里已经可以判断： 👉 Web 是突破口，SSH 可能是后期通道

Did not follow redirect to http://dc-2/未遵循重定向到http://dc-2/

二、Web 初探：一个“访问不了”的网站

浏览器直接访问 IP，却发现页面提示：

这说明网站做了 域名级重定向，如果不配置本地 DNS，是无法正常访问的。

解决方案：修改 hosts 文件

在 /etc/hosts 中添加一条解析：

192.168.186.134   dc-2

配置完成后，再访问网站，一切正常。

三、Flag1 的提示：这次，CMS 漏洞不管用

网站首页可以看到 flag 入口，找到 flag1 后，内容非常关键：

这一步直接“点名”了攻击思路：

• ❌ 不走漏洞利用
• ✅ 走弱口令 + 定制字典

这在真实环境中非常常见。

这儿提示我们使用cewl工具生成字典，这关不能像常规一样利用cms漏洞攻击了

四、目录扫描：后台入口出现了

使用 dirsearch 对站点目录进行扫描，很快发现了一个熟悉的路径：

访问后确认： 👉 WordPress 后台登录界面

五、CeWL：为目标网站“量身定制”字典

既然 flag1 已经提示了，就直接上 CeWL。

爬取网站关键词生成密码字典

cewl http://dc-2/ -w /home/kali/dict.txt

这个字典不是万能的，但非常“贴合目标”，这就是它的价值。

六、WPScan：枚举用户 + 爆破登录

1️⃣ 枚举 WordPress 用户

wpscan --url dc-2 -eu

扫描出来了三个用户名，接着我们在桌面创建一个username.txt文件，放着这些用户名

2️⃣ 使用 CeWL 字典进行爆破

🎯 成功爆破出两个账号：

• jerry
• tom

后台登录后，在 jerry 的后台页面中拿到 flag2。

同时再次被提醒：

七、SSH 尝试：非默认端口 + 用户验证

端口扫描时我们已经知道：

ssh [email protected] -p 7744

1️⃣ 尝试 jerry 登录❌ 无论密码是否正确，始终失败 👉 说明 系统中根本不存在 jerry 用户

2️⃣ 尝试 tom 登录

ssh [email protected] -p 7744

登进去了，看一下权限

八、rbash 限制：低权限用户的真实写照

登录后第一反应：环境非常不对劲

查看 PATH：

echo $PATH#查看上面得到path路径的所有文件#运行结果 /home/tom/usr/binecho /home/tom/usr/bin/*

只剩下寥寥几个命令，其中：

👉 唯一有价值的：vi

九、绕过 rbash：三条命令破局

rbash 并不是“绝对安全”的，它只限制命令调用方式。

利用 BASH_CMDS + 环境变量即可绕过。

BASH_CMDS[a]=/bin/sh;aexport PATH=$PATH:/bin/export PATH=$PATH:/usr/bin

🎉 成功获得完整 shell 环境

提示我们得su一下jerry，su是Linux切换用户的命

再输入一下之前拿到的密码即可 登入进去，然后用命令找一下flag文件

find / -name *flag*

好吧看来除了flag4.txt，其他文件的权限都没有，我们先看看flag4.txt

cat /home/jerry/flag4.txt

提示了我们git，还有root看来是要提权的操作

使用 sudo -l 看一下，git 命令可以以 root 权限执行，而且不需要密码

sudo git help config

回车输入

!/bin/bash

提权成功，然后找一下flag文件

然后打开一下

cat /root/final*

芜湖！拿到最终flag

总结

DC-2 给我们的 5 个真实世界启示

✅ 不是所有靶机都靠漏洞 ✅ 定制字典比万能字典更有效 ✅ SSH 非默认端口 ≠ 安全 ✅ rbash ≠ 不能提权 ✅ sudo 配置错误是 Linux 提权重灾区

📌 写在最后

DC-2 是一个非常“真实”的靶机，它不像很多靶场那样一路 RCE，而是：

模拟了真实企业中最常见的失误组合

如果你正在准备 OSCP / 渗透面试 / 实战能力提升， 这台靶机 一定要亲手打一次。

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑客映像馆 蜡笔小qian《《不用漏洞也能拿下 Root？DC-2 靶机完整攻击链实录》》