DC-6靶机渗透

已于 2022-07-03 10:27:50 修改
阅读量548 收藏 2
点赞数
分类专栏: DC靶机系列 文章标签: 其他
于 2022-05-31 15:13:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62008601/article/details/124983453
版权

攻击机kali:192.168.56.102

靶机dc-6:192.168.56.107

为确保两台服务器在同一网段下,我这里dc-6的网络设置为仅主机网络,kali的设置为桥接模式,这样才能通过kali扫描出dc-6靶机的ip。

825914777a4a4a6cbe89e8434ac9fa8a.png

 904a46300ac84ee1ba4e5158a0191abf.png

配置好环境之后就可以开始操作了

扫描存活的主机

f150d112c47a4e0d8a11f9f0df3354fe.png

扫描靶机开放的端口

d6f6c717b3d64ffa9163a92d0747c527.png

看到开放了80端口和22端口,浏览器进行访问

1b29fe46c2e54be8a7d098d853e49ba7.png

无法访问,这个问题和前面的一个靶机类似,存在域名解析错误,知道了域名为wordy,就可以去hosts文件(在/etc/hosts)中添加相应的ip和域名来解决域名解析错误的问题,

3948a3b2c53a41a78a2804f2a7c357c7.png

 添加完成之后再去访问网站就可以访问成功了

15f7283ffcf44d0d90251392a4455b82.png

 发现页面和dc-2的一样,网页中也没有什么信息,对网站进行指纹识别

4c9c8d51d3404be69c162b5138b2956a.png

通过wappalyzer插件,可以看到cms也还是wordpress ,那么我们就可用wordpress的漏洞扫描器wpscan进行扫描来枚举用户

wpscan --url wordy -e u

dceba06a66db4fbaa300479811032eaf.png

发现了四个用户,那么就可以开始找登录页面了,使用dirb对网站目录进行扫描。

dirb http://wordy/

00423515a9c14e4aa4a2adcafb2b96d0.png

得到多个子域名,都打开试一试发现很多个都是登录框页面

6ca6628210f14d948e74ef31c9df05f6.png

刚刚已经得到了5个用户,那现在就还差登录的密码,在dc2的时候我们用cewl来爬取页面关键字来生成密码,dc-6还用这个方法的话会发现是不行的,还有个方法就是我们可以直接利用/usr/share/wordlists/rockyou.txt(最开始是个压缩包需要解压,就是那个.gz压缩包) 这个密码文件和用户名进行爆破匹配

9c7b32ccf77a45a29fbddb5a2b5a56ec.png

 把rockyou.txt复制到/home目录下的用户目录里(每个人的不一样),并重命名为passwd.txt,将得到的五个用户名写进users.txt放在同一目录下

957d2f313e914539a71330f677eea80c.png

 接着就开始进行爆破

wpscan --url -U users.txt -P passwd.txt

8e189727f0c24147be07fdf9da3ba630.png

cd1560cbfcac47eb9fbf4eb8bf55b8a2.png 由于密码字典过大,爆破时间会有亿点点长。

172d98beaeca4bb991818a9696c530cc.png

得到密码之后进行登录

21abefe77d464d1d940ec17fb1f0c598.png

登录成功之后我们可以看到这个版本的wordpress用了activity monitor插件,它是一款网站用户活动监控插件,就是可以用来监控活动的

5e27e8b6ec194f678c4b9982e73d1d15.png

我们猜测这里会存在一个漏洞,我们可以同searchsploit工具进行查找,或者在漏洞利用数据库(exploit-db.com)进行搜索查找

3845dc8ee5f945e6b11d5356aaca0572.png

可以发现存在一个命令注入漏洞,且漏洞编号为CVE-2018-15877

0e2ca7e6a7be44b0a7303eb3d6942568.png

用searchsploit进行搜索

dd65614fde57492ebb5372f8fc9c6da5.png

那我们就可以通过这个漏洞来拿到shell

根据所看到的文件路径,先把漏洞说明保留到本地

4dad144d986e46fb9eb3cf0b0890ff92.png

打开看之后发现是漏洞说明和一串html代码208c5d0801324927acc6caad0104a2e7.png

接着我们把这串html代码复制并粘贴到一个新文件里。

c746151cb427449eae8107cd2cbcd06d.png

可以清楚的看到应该怎么利用,把localhosts:8080改为目标服务器名wordy,以及nc的监听命令要修改为攻击机的ip

ad4f087c5e1340b08395876d753cdee7.png

 

接下来就开始进行漏洞利用了,先kali开启http服务并运行在80端口

sudo python -m SimpleHTTPServer 80

f467f3d517a249dda4eb618167457d18.png

 这里出了点小问题python2和python3开启http服务的命令不一样,前面是python2的开启方法,python3的开启方法为

sudo python -m http.server 80

开启了之后用浏览器打开进行访问

fbf64495c07a4e248c6165c60d74e073.png

然后访问我们刚刚保留的45274.html页面

9fa78a416f78432dbdaf98f1ea6fa8c4.png

看到有一个提交请求的按钮,然后我们用nc命令监听9999端口

6dc999a423bd4a54897bf845480ee9f3.png

 回到网站点击请求按钮

4602127a065f4cc2863e9bb8d076eb56.png

可以看到我们已经成功连接到对方的服务器,老方法,接下来我们获取一个交互式的shell

python -c 'import pty;pty.spawn("/bin/sh")'

58ab24d906b14ddf8cd93ec46b863cea.png

 进入到mark目录

35221ebe1f154f4dab6a37b0f28f4784.png

 看到有个stuff目录,进入stuff目录之后发现一个文件

703fcd8b2a044f408c7b170c8af9b869.png

 打开这个文件发现了graham用户的密码

d73be2da31a94910bb42d8eca6df8179.png

那么我们就切换到graham用户

ccea931b987e4755aac07fadf86800ba.png

再进入到该用户对应的目录看看有什么

525c122f13b8424781a114a95e8ac0c9.png

 发现什么都没有,看看他可以使用哪些命令

f489f6ef7c784b729d51896b89a254ef.png

 可以看到可以使用/home/jens/backup.sh的suid执行权限,那我们就切换到jens目录,并打开backups.sh文件

653fb6f22e904c098edb365837b88bfa.png

发现是两个命令,接着我们向里面追加写入一个shell的命令

echo "/bin/bash" >> backups.sh

然后以管理员身份用jens来执行这个脚本,这样我们就可以切换到jens用户

sudo -u jens ./backups.sh

77626e7c73454d79a91cc8bbeefa8661.png

然后又发现jens可以以管理员身份执行nmap命令,这里涉及到用管理员下的nmap进行提权,附上一个nmap提权的链接:nmap提权几种方式_1winner的博客-CSDN博客_nmap提权

7fa6ac4b434d4663ac591462f5bced0d.png

接下来我们可以创建一个getshell脚本,然后在里面写入一条命令,并用nmap来执行,这样我们就可以成功提权

echo 'os.execute("/bin/bash")' >> getshell

nmap执行getshell脚本命令

sudo nmap --script=getshell

7ed089c426864b63b1c497d092492485.png

 可以看到成功提权,拿到root权限,接着我们进入root目录并发现了flag文件

b8c21243b2ab4dba86d345360ad69452.png

结束~~

参考链接:Vulnhub靶机(6)—— DC-6渗透_哔哩哔哩_bilibili

 

 

7562ajj
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DC-6主机渗透
weixin_65920814的博客
05-30 128
以上就是详细介绍的DC-6主机渗透测试的全部内容。
DC-6靶场
qq_49518993的博客
08-31 1202
DC-6靶场
靶机7 DC-6(过程超详细)
honest_gg的博客
09-26 2746
DC靶场一共有9个,对于学习渗透测试人员,有很大的帮助,是非常不错的靶场。
DC靶机系列:DC-6
Ays.Ie的博客
02-28 557
本篇文章为DC系列第6个靶机,该篇文章详细的记录了渗透的思路和整个渗透的过程,希望能够帮助到他人,同时加深自己的印象以及熟练自己的操作
Vulnhub靶机 DC-6 打靶实战 详细渗透测试过程
最新发布
rumil的博客
04-20 814
查看sudo -l 下的内容,发现有jens用户权限执行的脚本,正是刚才我们刚才看见的shell脚本,接下来可以利用此,来反弹jens用户权限的shell。当前目录下无可利用的文件信息,查看家目录,发现有四个用户信息,逐一查看,发现在jens家目录和mark家目录下有文件信息,逐一查看。mark家目录下有一个文件夹,文件夹当中为一个txt文本文件,查看后发现graham用户的信息,尝试ssh远程登录到graham。发现可以正常的命令回显,那么接下来直接进行反弹shell,kali端开启监听。
DC6靶场渗透流程(超详细)
m0_64583632的博客
04-10 871
vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。
DC-6靶机攻略
真正的大师,永远都怀着一颗学徒的心。
08-01 1890
文章目录前言一、信息收集1,确定IP以及开放端口2,访问对方80端口3,登入对方后台二、反弹shell与提权1.得到SSH账号2.登陆对方SSH3,切换用户并提权 前言 DC-1靶机攻略 DC-2靶机攻略 DC-4靶机攻略 本篇将介绍DC-6的靶机攻略 一、信息收集 1,确定IP以及开放端口 2,访问对方80端口 这里和DC-2很像,直接输入IP无法访问80,需要配置etc/hosts文件 配置后成功进入目标网站,发现是由WordPress搭建。直接上WPscan WPScan是Kali Linu
DC-6靶机渗透测试
读书 买花 长大
04-22 424
DC-6
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
Vulnhub靶机渗透测试 DC-9靶机
12-07
Vulnhub靶机渗透测试 DC-9靶机
Vulnhub靶机渗透测试 DC-1靶机
03-05
Vulnhub靶机渗透测试 DC-1靶机
dc-6 靶机渗透学习
..
03-21 1721
信息收集 扫描当前网段,确定存活主机 nmap -sP 192.168.202.0/24 对靶机进行端口扫描,发现80、22端口开放 nmap -A -p- -v 192.168.202.145 访问80端口,发现和dc-2一样的问题,会自动跳转到域名,需要手动在hosts文件加入ip对应关系。 修改后重新访问80端口,用Wappalyzer扫描一下框架,发现是WordPress 根据靶机作者的提示,大致就知道是通过爆破来做 用专门的CM...
DC-6靶机渗透测试详细教程
啊醒的博客
05-04 2518
DC-6靶机渗透测试详细教程
Vulnhub靶机DC-6
m0_60911102的博客
11-30 911
Vulnhub靶机DC-6
DC-6靶机测试渗透详细教程
wwxxss
10-26 1279
DC-6的靶场详细渗透过程
渗透DC-1靶机设计思路
05-24
1. 确定目标:首先需要确定渗透的目标,即DC-1靶机。 2. 收集信息:收集关于DC-1的信息,如IP地址、开放端口、操作系统等。可以使用工具如nmap、whois、dnsrecon等进行信息搜集。 3. 扫描漏洞:使用漏洞扫描工具如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值