VulnHub DC-4 靶机渗透测试中，如何找到并利用特定漏洞进行攻击？

VulnHub DC-4 靶机渗透测试笔记 靶机信息 靶机名称：DC-4 靶机来源：VulnHub 目标：获取 root 权限，找到最终 flag 难度：⭐⭐⭐☆☆（中等） 涉及技术：信息收集、Web 密码爆破、命令注入、反弹 Shell、SSH 爆破、sudo 提权 一、信息收集 1.1 主机发现 ifconfig 本机 IP：192.168.168.128 nmap -sn 192.168.168.0/24 扫描结果 192.168.168.1 → VM8 网卡 192.168.168.2 → 网关 192.168.168.128 → Kali 本机 192.168.168.130 → 靶机 DC-4（后面出问题了，重装了一下，分配了169） 192.168.168.254 → DHCP 服务器 1.2 端口与服务扫描 nmap -p- -A 192.168.168.130 开放了 22 和 80，80 是 Web 服务。 二、Web 信息收集 2.1 访问网站 访问目标网站，什么都没有： 页面源码也没什么： 2.2 目录扫描 dirsearch -u http://192.168.168.130/ 好像也没什么： 插件也什么都没有： 2.3 检查 SSH 和 Nginx 版本漏洞 对了 SSH 和 Nginx 有没有版本漏洞？ 感觉都不行，那只能爆破了。 三、Web 登录爆破 3.1 Burp Suite 爆破 bp 爆破用的 fuzzDicts 字典里的： 跑出来了：admin / happy 登录： 3.2 Hydra 爆破（更快） 还有这种简单的密码爆破，没有什么验证，可以使用 hydra 爆破，比 bp 快多了： hydra -l admin -P rockyou.txt 192.168.168.169 http-post-form "/login.php:username=^USER^&password=^PASS^:S=logout" -F 简单拆解如下 hydra: 启动爆破工具。 -l admin: 指定登录账号是 admin。 -P rockyou.txt: 使用 rockyou.txt 这个巨大的字典来试密码。 192.168.168.130: 靶场的 IP 地址。 http-post-form: 告诉工具这是个网页登录表单。 "/login.php...S=logout": 去 /login.php 页面试。 USER 和 PASS 就是爆破的内容 username 和 password 就是网页里面的表单值（一般是这样的，可以 F12 确定一下） 关键点：如果登录后页面出现了 logout 这个词，说明登录成功了！ -F: 只要试对一个密码，就赶紧停下来。 很快，半分钟不要就跑出来了。 备注：这里遇到个问题，只有谷歌浏览器能登录账号密码，bp 内置的谷歌和 edge 都登不上，后来发现和 cookie 有关，能把谷歌里的 cookie 写到 bp 里就能重新登了，又是环境问题，重装了一下，全都好了，ip 变成了 169。 四、命令注入 4.1 发现命令执行功能 点击命令里面： List Files：You have selected: ls -l Disk Usage：You have selected: du -h Disk Free：You have selected: df -h 4.2 抓包分析 bp 抓包： radio=whoami 这就是个命令执行的地方。