VulnHub-DC：6-Walkthrough

靶机地址：https://www.vulnhub.com/entry/dc-6,315/
靶机难度：中级（CTF）
靶机发布日期：2019年4月26日
靶机描述：
DC-6是基于Debian 64位构建的VirtualBox VM，但是在大多数PC上运行它应该没有任何问题。
我已经在VMWare Player上对此进行了测试，但是如果在VMware中运行此VM时遇到任何问题，请通读此书。
当前已将其配置为桥接网络，但是，可以根据您的要求进行更改。为DHCP配置了网络。
安装非常简单-下载它，解压缩，然后将其导入VirtualBox或VMWare，然后就可以使用了。
注意：您将需要在渗透测试设备上编辑主机文件，以使其读取如下内容：
192.168.0.142 wordy
注意：我以192.168.0.142为例。您需要使用常规方法确定VM的IP地址，并进行相应的调整。
这个非常重要。
是的，这是另一个基于WordPress的VM（尽管只有我的第二个）
目标：得到root权限&找到flag.txt
作者：大余
时间：2020-01-26
请注意：对于所有这些计算机，我已经使用VMware运行下载的计算机。我将使用Kali Linux作为解决该CTF的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

在这里插入图片描述
我们在VM中需要确定攻击目标的IP地址，需要使用nmap获取目标IP地址：
我们已经找到了此次CTF目标计算机IP地址：192.168.56.132

nmap扫描到了22和80端口开放着…

按照作者要求，添加wordy做重定向…

这是wordpress框架…基于WordPress CMS架构…
在这里插入图片描述
命令：wpscan --url http://wordy --enumerate
由于是wordperss架构直接wpscan进行爆破…这边发现了五个用户名…用户名都放入文本中…
看过前几章或者了解wordpress框架的都知道http://wordy/wp-login.php存在这个登陆页面…
这边下一步需要知道用户名的密码…回到介绍你可以看到，作者给了提示…
在这里插入图片描述
意思就是减少我们爆破密码的时间…缩小范围…

命令：cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt （按照作者要求操作）
命令：wc -l passwords.txt （目前字典数量2668个）
因为rockyou.txt 单词列表包含14344392个单词，将其减少到2668个单词的事实可节省大量时间，这边直接使用压缩后的字典爆破即可…
在这里插入图片描述
命令：wpscan --url http://wordy -U mark -P passwd.txt
扫描发现就mark用户可以成功登陆，密码：helpdesk01

登陆进来，我发现了两个信息…一个可以上传个人信息…一个是 activity monitor插件，这存在一个很大的漏洞…

二、提权

在谷歌上查询 activity monitor如下…

在这里插入图片描述

下载放入本地后…

我修改了两处地方…红框

执行45274.html获取反向shell…

成功netcat获得了反向连接…

遍历目录时候，我发现了四个用户，在graham用户发现了backups.sh，mark用户发现了things-to-do.txt文件，该文件存储了graham的密码？？GSo7isUM1D4
登陆试试…
在这里插入图片描述
成功登陆…

检查了sudo权限，发现graham用户可以在没有密码的情况下以jens用户身份执行backup.sh…

查看backup.sh，我添加了/bin/bash使用它来编辑该文件…

命令：sudo -u jens /home/jens/backups.sh
成功进入jens用户，使用sudo提权发现namp是root用户权限运行的…jens可以root用户身份运行nmap…
在这里插入图片描述
链接