VulnHub-DC：6

靶机地址：https://www.vulnhub.com/entry/dc-6,315/

靶机难度：中级（CTF）

靶机发布日期：2019年4月26日

靶机描述：

DC-6是基于Debian 64位构建的VirtualBox VM，但是在大多数PC上运行它应该没有任何问题。

我已经在VMWare Player上对此进行了测试，但是如果在VMware中运行此VM时遇到任何问题，请通读此书。

当前已将其配置为桥接网络，但是，可以根据您的要求进行更改。为DHCP配置了网络。

安装非常简单-下载它，解压缩，然后将其导入VirtualBox或VMWare，然后就可以使用了。

注意：您将需要在渗透测试设备上编辑主机文件，以使其读取如下内容：

192.168.0.142 wordy

注意：我以192.168.0.142为例。您需要使用常规方法确定VM的IP地址，并进行相应的调整。

这个非常重要。

是的，这是另一个基于WordPress的VM（尽管只有我的第二个）

目标：得到root权限&找到flag.txt

请注意：对于所有这些计算机，我已经使用VMware运行下载的计算机。我将使用Kali Linux作为解决该CTF的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

我们在VM中需要确定攻击目标的IP地址，需要使用nmap获取目标IP地址：

我们已经找到了此次CTF目标计算机IP地址：

192.168.56.132

nmap扫描到了22和80端口开放着...

按照作者要求，添加wordy做重定向...

这是wordpress框架...基于WordPress CMS架构...

wpscan --url http://wordy --enumerate

由于是wordperss架构直接wpscan进行爆破...这边发现了五个用户名...用户名都放入文本中...

看过前几章或者了解wordpress框架的都知道http://wordy/wp-login.php存在这个登陆页面...

这边下一步需要知道用户名的密码...回到介绍你可以看到，作者给了提示...

意思就是减少我们爆破密码的时间...缩小范围...

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

（按照作者要求操作）

wc -l passwords.txt 

 （目前字典数量2668个）

因为rockyou.txt 单词列表包含14344392个单词，将其减少到2668个单词的事实可节省大量时间，这边直接使用压缩后的字典爆破即可...

wpscan --url http://wordy -U mark -P passwd.txt

扫描发现就mark用户可以成功登陆

密码：helpdesk01

登陆进来，我发现了两个信息...一个可以上传个人信息...一个是 activity monitor插件，这存在一个很大的漏洞...

二、提权

在谷歌上查询 activity monitor如下...

下载放入本地后...

我修改了两处地方...红框

执行45274.html获取反向shell...

成功netcat获得了反向连接...

遍历目录时候，我发现了四个用户，在graham用户发现了backups.sh，mark用户发现了things-to-do.txt文件，该文件存储了graham的密码？？GSo7isUM1D4

登陆试试...

成功登陆...

检查了sudo权限，发现graham用户可以在没有密码的情况下以jens用户身份执行backup.sh...

查看backup.sh，我添加了/bin/bash使用它来编辑该文件...

sudo -u jens /home/jens/backups.sh

成功进入jens用户，使用sudo提权发现namp是root用户权限运行的...jens可以root用户身份运行nmap...

https://gtfobins.github.io/gtfobins/nmap/#shell

意思是os.execute("/bin/sh")内容输入到mktemp文本中，然后nmap --script=运行即可...（这里一定要用sudo执行）

成功提权...

这台靶机是wordpress CMS结构，这边新知识是框架中具有 activity monitor插件，利用该漏洞即可，后面提权直接是老方法了...

由于我们已经成功得到root权限，因此完成了简单靶机，希望你们喜欢这台机器，请继续关注大余后期会有更多具有挑战性的机器，一起练习学习。

如果你有其他的方法，欢迎留言。要是有写错了的地方，请你一定要告诉我。要是你觉得这篇博客写的还不错，欢迎分享给身边的人。

原文始发于微信公众号（大余安全）：VulnHub-DC：6