0x00 environment
dc6 drone Download: https://download.vulnhub.com/dc/DC-6.zip
nat dc6 in open mode in vmware
kali2019 start in nat mode, ip address is 192.168.106.145
0x01 Information Collection
It was found with nmap scan ip host survival
We found the target host ip is 192.168.106.148, then port scan
22 and 80 found the open port, to access web services
Access failure but found the domain name should be the resolution fails, then modify the hosts file on the local
hosts file in windows in c: \ windows \ system32 \ drivers \ etc \ hosts
In the \ etc \ hosts under linux
There permissions problem windiws, direct powershell open Notepad to open again to save your changes
You can then access the target site
Wordpress site is found, then we can use wpscan scan, the first scan prior to scanning for directory
After Nothing can be scanned with wpscan, which scans users
wpscan --url http://wordy --enumerate u
Five were swept to the user, namely, admin, graham, mark, sarah, jens
0x02 Login Web
These among several users to write to user.txt
Then use cewl generate wordpress associated password dictionary wordy-pass.dic
cewl wordy -w wordy-pass.dic
Wpscan use brute force user passwords, syntax:
wpscan --url Wordy -U username .txt -P Pass .dic
没找到密码,再回去看看有什么提示,https://www.vulnhub.com/entry/dc-6,315/
提示到使用kali里面的rockyou.txt字典
先解压,然后将里面的k01的部分导出到dc6目录下面的passwords.txt
gunzip rockyou.txt.gz rockyou.txt
再利用wpscan暴力破解的命令
得到用户密码为:
用户:mark
密码:helpdesk01
拿到后台去登录:
0x03插件rce漏洞getshell
一看是wp5.3的,很新的版本,后台漏洞没有发现,但是可以找插件漏洞,这里安装了一个activity monitor插件,百度了该插件的漏洞
发现存在rce漏洞,用kali里面的searchsploit来搜索也能搜出来exp
将其复制出来到dc6目录下
打开修改一些参数,
将这两个地方修改一下就好了,保存之后,kali先暂时开启web服务
python -m SimpleHTTPServer 80
然后在主机上访问
先在kali上开启一个nc监听,端口为html中的9999
然后主机上点击这个html的submit request
但这里不知道为什么没反弹成功,那么我们就使用抓包的形式来反弹shell
先进入到该插件的tools部分,打开bp,开启代理,然后点击lookup发送post包,bp即可抓取到
命令执行处在ip变量下面的值12处,
看到可以成功执行命令,那么我们在这儿执行一个反弹命令,将shell反弹到我的vps上
0x04水平越权
成功反弹。cd到home下对应的用户下,我是mark登录的,所以只能看普通用户下的根目录,root目录是访问不了的,在home下查找除root用户的其他用户的根目录下的文件
看到了mark目录下的子目录下存在一个txt文件,打开看看
我们看到了graham用户的密码,可以使用ssh直接连接,也可以使用su来切换用户,为了方便我们直接在交互式shell里面来切换用户吧。
查看当前用户可执行操作:sudo -l
发现jens/下面的backups.sh可以在当前用户下执行,那么切换到该目录下面去查看脚本内容
是备份网站根目录的作用,那么既然可以执行脚本,那么我们在脚本里面写入/bin/bash 命令,然后让jens用户运行不就可以获取到jens的shell了吗,反正是在jens目录下的脚本。
echo "/bin/bash" >> backups.sh sudo -u jens ./backups.sh
0x05nmap脚本提权
获取到jens的shell,查看它有哪些执行操作
发现可以执行root的nmap,也就是nmap是root权限
nmap工具是可以执行脚本的,那么我们把弹root用户shell的命令写入到nmap的脚本里面,然后用nmap命令执行即可切换到root用户的shell。
echo 'os.execute("/bin/sh")' > getShell sudo nmap --script=getShell
然后cd到root目录下,发现flag的txt文件