Vulnhub靶机DC-6详解:
渗透机:Kali IP:192.168.43.249 靶机:DC-6 IP:未知
- 信息收集
- 扫描靶机存活性
- 扫描靶机开放端口以及服务版本信息
- 访问网站
- 访问192.168.43.185的时候,发现跳转到wordy
- 这里我是提前做了一步,需要在/etc/hosts下添加dns正向查找
- 到这,肯定有很多小伙伴发现DC系列都是老套路,或许有的直接上手wpscan去找用户名以及密码,然后登陆一个wp-admin的网址,没问题,都是对的
- 这里我换一种方法,直接利用nmap所有vuln脚本去爆出他的用户名
- 速度也很快,大约半分钟,获取5个用户名
- 紧接着,咱们把这五个用户名写入user.txt,再使用wpscan去获取密码,好像右绕回来了,还是离不开wpscan,确实是个好工具
- 输入N,接着就是等待,
- 最后得到用户名以及密码: mark@helpdesk01
- 扫描靶机存活性
- 我去对比了一下DC-6和以往的系列,发现他多了一个插件
- 看着像是可以利用反弹shell
- 我们先利用漏洞库搜索一下这个插件是否存在漏洞
- 不仅有而且有我们想要的,查看一下这个45274.html的内容
- 在第一个位置输入域名,下面nc后面输入kali的ip地址
- Kali开启监听
- 此时还需要把我们放在桌面上的脚本45274.html发布出去
- 网页访问45274.html
- 接着只需要按下Submit我们就会得到靶机的shell
- 完成一半了,兄弟们
- 在大致的翻阅了一些文件以后,发现点线索
- 获得一个用户名以及密码:graham@GSo7isUM1D4
- 废话不多说,直接切换到graham用户,并查看了下委派权限
- 可以发现,当前用户graham可以以jens的身份去运行backups.sh脚本,那么很简单了,我们可以把”/bin/bash”写入到backups.sh中,在运行就可以获取shell
- Ok,我们获取了jens的权限,接着继续查看委派权限
- Nmap提权
- Nmap在早期版本中是可以用来提权的,提权代码如下,TF是写入一个临时文件中,下次登陆的时候就没了
- Finish,题目解完了,你们的点赞是我更新的动力