靶场的搭建

从官网直接用迅雷下载就会快一点：https://www.vulnhub.com/entry/dc-6,315/，解压之后用vm直接打开ova文件即可，要注意一下靶机和攻击机（kali）要在同一个局域网内哦！！！，比如我这里的靶机和攻击机都是用net模式连接的网络

信息收集

主机扫描

得到靶场的ip为：192.168.2.139

端口扫描

开放的端口为22、80

目录扫描

有一个登录的目录

网站信息扫描

网址被重定向了，需要改一下hosts的配置文件，具体的原理你可以看一下我的dc-2靶场的解释

重新打开网址发现正常回显，而且我们可以发现它的指纹识别的cms是wordPress 5.1.1

信息收集总结

开放的端口：20、80登录的目录：http://wordy/wp-login.php?action=register 系统cms是wordPress 5.1.1

漏洞利用

80端口

我们前面由80端口已经得到了系统的指纹识别

22端口

22端口开放，可以ssh连接，但是我们没有用户名和密码，无法直接连接，先放一放

cms的利用

cms是wordpress，而且发现了一个登录的页面，我们首先要先破解账号名和密码

密码破解

我们先尝试用cewl进行密码收集，发现行不通再考虑用kali自带的密码字典usr/share/wordists/rockyou.txt，由于字典太大，我们先把密码过滤出来

cat rockyou.txt | grep k01 > dc6.txt

账号名收集

在Wordpress中，有一个kali自带的工具，专门针对该wordpress系统的扫描工具

收集到了用户名，保存在文件dc6user.txt上

匹配账号名和密码

根据前面的字典，就可以得到账号名和密码：mark / helpdesk01

登录成功

我们发现有一个插件的工具activity monitor，可以利用这个插件漏洞进行远程命令连接

activity monitor插件漏洞

远程命令执行

我们发现管道符命令注入成功，说明存在漏洞，但是我们的输入长度被限制了，我们改一下长度，按f12找出maxlength函数，把15改大一点，我这里改到100

反弹shell

建立kali的监听端口

反弹shell

反弹成功

进入交互式模式

python -c  'import pty;pty.spawn("/bin/bash")'

逛了一下home目录

graham用户

该用户下没有什么可以直接利用的信息或者文件

jens用户

发现有一个脚本文件，看了一下文件内容，暂时没有利用的方式

sarah用户

mark用户

发现有一个txt文件，里面有graham用户的密码GSo7isUM1D4，而且前面我们的信息收集已经知道靶机开放了ssh 22端口，我们可以用graham用户进行ssh连接

ssh连接

ssh [email protected]

登录成功

发现有一个可疑的目录lost+found，但是没有权限进不去，先查看一下目前用户能执行的文件

sudo -l

发现我们可以执行/home/jens/backups.sh脚本，脚本注释的信息提示我们先把/bin/bash写入脚本内，再用jens用户执行

echo "/bin/bash" >> /home/jens/backups.sh

sudo -u jens /home/jens/backups.sh

成功切换成jens用户，我们再来逛逛这个用户下有什么提示，不s心的我想看看lost+found到底有什么，发现还是没有权限，没办法只能先看看这个jens用户有什么权限

发现/usr/bin/nmap，但是要以root用户执行，root用户不就是我们想要的最终超级权限吗？不要激动哈哈哈，先看看/usr/bin/nmap里面有什么东西，里面的文件是一堆乱码，再想想

nmap的nse脚本提权

前面提示我们nmap可以执行root，我们可以Nmap的NSE脚本提权（NSE是Nmap的一个强大的功能，允许用户编写脚本来扩展Nmap的功能。）如果Nmap以root权限运行，可以通过编写NSE脚本来执行提权操作

所以我们先创建一个脚本并执行该脚本，这里要注意的是一定要在jens目录下执行该脚本才有权限

echo "os.execute('/bin/bash')">demon.nse //nse为nmap可执行文件后缀，此命令为开启一个终端（以当前身份）

sudo nmap --script=demon.nse //执行此脚本

提权成功GET flag

已经利用nmap脚本成功提权到root，接下来就是进入root目录找flag啦