声明:请勿利用文中相关技术非法测试,如因此产生的一切不良后果与文章作者及本公众号无关!
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt靶场下载链接:
Download: http://www.five86.com/downloads/DC-6.zipDownload (Mirror): https://download.vulnhub.com/dc/DC-6.zipDownload (Torrent): https://download.vulnhub.com/dc/DC-6.zip.torrent ( Magnet)
01
环境搭建
根据作者的安装说明,将压缩文件下载后,通过vm或者virtualbox打开即可,注意由于作者设置为桥接模式,为了试验方便此处可以人为改为NAT模式。
02
主机发现
03
端口探测
利用nmap工具进行端口探测,相信大家对于nmap已经相当熟悉了,下面列举了一些nmap常见参数:
有端口扫描结果可知系统开放了两个端口:22端口(ssh),80端口(http)。此处有两个利用思路,第一种是通过hydra对ssh服务进行爆破,第二种思路则是通过web进行渗透。可以进一步发现http服务被重定向到了http://wordy/
04
访问web服务
http://wordy/就相当于访问对应的ip地址。添加完域名及对应ip后,可以发现已经能够访问http://wordy/vim /etc/hosts
05
利用工具对wordpress网站信息搜集
wpscan --url http://wordy --enumerate vp --enumerate vt --enumerate t --enumerate u
获取到的可用信息如下:
http://wordy/xmlrpc.phphttp://wordy/readme.htmlhttp://wordy/wp-cron.phpwordpress版本为:5.1.1Author: the WordPress team
枚举出的用户姓名如下:
admingrahammarksarahjens
06
利用已知提示登录系统
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt
http://wordy/wp-login.php)可以看到如下图所示界面,通过wordspress管理后台分析,并没有发现可以利用的漏洞。此时尝试寻找是否存在插件漏洞:activity monitor
07
activity monitor 漏洞利用
nc -l -v -p 9999在本机进行监听,通过web访问45274.html文件,点击运行后。可以看到nc成功反弹,效果如下图所示:
python -c 'import pty; pty.spawn("/bin/bash")'
/home/mark/stuff目录下存在thing-to-do.txt文件,其内容为:Things to do:- Restore full functionality for the hyperdrive (need to speak to Jens)- Buy present for Sarah's farewell party- Add new user: graham - GSo7isUM1D4 - done- Apply for the OSCP course- Buy new laptop for Sarah's replacement
08
提权
ssh [email protected]
输入登录口令:GSo7isUM1D4
sudo -l 查看可执行的操作。发现能够以jens用户,不使用口令执行情况下执行backups.sh。打开文件backups.sh为一个文件减压的命令行,可将减压指令删除,换成/bin/bash以jens用户去执行操作。
sudo -l查询可执行的操作,发现能够以root用户,在不使用口令的的情况下执行nmap。故可通过nmap指令调用自己设定好的脚本如执行/bin/bash。新建一个nmap可执行的脚本 root.nse,输入如下内容:
- 往期推荐 -
【推荐书籍】
本文始发于微信公众号(贝塔安全实验室):靶场攻略 | DC6 (vulnhub)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论