VulnHub-DC:6

admin 2024年7月4日15:01:50评论5 views字数 1962阅读6分32秒阅读模式
 

VulnHub-DC:6

靶机地址:https://www.vulnhub.com/entry/dc-6,315/

靶机难度:中级(CTF)

靶机发布日期:2019年4月26日

靶机描述:

DC-6是基于Debian 64位构建的VirtualBox VM,但是在大多数PC上运行它应该没有任何问题。

我已经在VMWare Player上对此进行了测试,但是如果在VMware中运行此VM时遇到任何问题,请通读此书。

当前已将其配置为桥接网络,但是,可以根据您的要求进行更改。为DHCP配置了网络。

安装非常简单-下载它,解压缩,然后将其导入VirtualBox或VMWare,然后就可以使用了。

注意:您将需要在渗透测试设备上编辑主机文件,以使其读取如下内容:

192.168.0.142 wordy

注意:我以192.168.0.142为例。您需要使用常规方法确定VM的IP地址,并进行相应的调整。

这个非常重要。

是的,这是另一个基于WordPress的VM(尽管只有我的第二个)

目标:得到root权限&找到flag.txt

请注意:对于所有这些计算机,我已经使用VMware运行下载的计算机。我将使用Kali Linux作为解决该CTF的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

VulnHub-DC:6

 

 

 

VulnHub-DC:6

一、信息收集

VulnHub-DC:6

 

VulnHub-DC:6

我们在VM中需要确定攻击目标的IP地址,需要使用nmap获取目标IP地址:

VulnHub-DC:6我们已经找到了此次CTF目标计算机IP地址:

192.168.56.132

VulnHub-DC:6

nmap扫描到了22和80端口开放着...

VulnHub-DC:6

按照作者要求,添加wordy做重定向...

VulnHub-DC:6

这是wordpress框架...基于WordPress CMS架构...

VulnHub-DC:6

wpscan --url http://wordy --enumerate

由于是wordperss架构直接wpscan进行爆破...这边发现了五个用户名...用户名都放入文本中...

看过前几章或者了解wordpress框架的都知道http://wordy/wp-login.php存在这个登陆页面...

这边下一步需要知道用户名的密码...回到介绍你可以看到,作者给了提示...

VulnHub-DC:6

意思就是减少我们爆破密码的时间...缩小范围...

VulnHub-DC:6

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

(按照作者要求操作)

wc -l passwords.txt 

 (目前字典数量2668个)

因为rockyou.txt 单词列表包含14344392个单词,将其减少到2668个单词的事实可节省大量时间,这边直接使用压缩后的字典爆破即可...

VulnHub-DC:6

wpscan --url http://wordy -U mark -P passwd.txt

扫描发现就mark用户可以成功登陆

密码:helpdesk01

VulnHub-DC:6

登陆进来,我发现了两个信息...一个可以上传个人信息...一个是 activity monitor插件,这存在一个很大的漏洞...

 

 

VulnHub-DC:6

二、提权

VulnHub-DC:6

 

在谷歌上查询 activity monitor如下...

VulnHub-DC:6

VulnHub-DC:6

下载放入本地后...

VulnHub-DC:6

我修改了两处地方...红框

VulnHub-DC:6

执行45274.html获取反向shell...

VulnHub-DC:6

成功netcat获得了反向连接...

VulnHub-DC:6

遍历目录时候,我发现了四个用户,在graham用户发现了backups.sh,mark用户发现了things-to-do.txt文件,该文件存储了graham的密码??GSo7isUM1D4

登陆试试...

VulnHub-DC:6

成功登陆...

VulnHub-DC:6

检查了sudo权限,发现graham用户可以在没有密码的情况下以jens用户身份执行backup.sh...

VulnHub-DC:6

查看backup.sh,我添加了/bin/bash使用它来编辑该文件...

VulnHub-DC:6

sudo -u jens /home/jens/backups.sh

成功进入jens用户,使用sudo提权发现namp是root用户权限运行的...jens可以root用户身份运行nmap...

VulnHub-DC:6

https://gtfobins.github.io/gtfobins/nmap/#shell

 

VulnHub-DC:6

意思是os.execute("/bin/sh")内容输入到mktemp文本中,然后nmap --script=运行即可...(这里一定要用sudo执行)

成功提权...

 

VulnHub-DC:6

这台靶机是wordpress CMS结构,这边新知识是框架中具有 activity monitor插件,利用该漏洞即可,后面提权直接是老方法了...

由于我们已经成功得到root权限,因此完成了简单靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。

如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。

VulnHub-DC:6

VulnHub-DC:6

原文始发于微信公众号(大余安全):VulnHub-DC:6

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月4日15:01:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   VulnHub-DC:6http://cn-sec.com/archives/892589.html

发表评论

匿名网友 填写信息