0x00の環境
DC6ドローンダウンロード:https://download.vulnhub.com/dc/DC-6.zip
VMwareの中にオープンモードでnat DC6
kali2019がNATモードで起動し、IPアドレスが192.168.106.145であります
0x01の情報収集
これは、nmapのスキャンIPホストの生存を発見されました
私たちは、ターゲットホストのIPアドレスが192.168.106.148で見つけ、その後、ポートスキャン
22と80は、アクセスのWebサービスに、開いているポートを見つけました
アクセス障害が、見つかったドメイン名は、ローカルホスト上のファイルを変更失敗解決する必要があります
Cのウィンドウでhostsファイル:\ WINDOWS \ SYSTEM32 \ drivers \ etcに\ホスト
Linuxで\ ETC \ hosts内
そこ権限の問題windiws、変更内容を保存するために、再度開くために直接PowerShellのオープンメモ帳
その後、ターゲットサイトにアクセスすることができます
Wordpressのサイトが発見され、その後、我々はwpscanスキャンを使用することができ、前にディレクトリをスキャンする最初のスキャン
何もwpscanでスキャンすることができた後に、これは、ユーザをスキャン
wpscan --urlます。http:// 長ったらしい--enumerate U
ファイブがユーザーに掃引された、つまり、管理者、グラハム、マーク、サラ、イェンス
0x02のログインウェブ
これらのUSER.TXTへの書き込みには、いくつかのユーザーの間で
そして、使用はwordpressの関連するパスワード辞書は長ったらしい-pass.dic生成cewl
cewl長ったらしい-w長ったらしい、pass.dic
Wpscan使用ブルートフォースユーザーパスワード、構文:
wpscan --url 長ったらしい-Uユーザ名.txtの-P パス.DIC
没找到密码,再回去看看有什么提示,https://www.vulnhub.com/entry/dc-6,315/
提示到使用kali里面的rockyou.txt字典
先解压,然后将里面的k01的部分导出到dc6目录下面的passwords.txt
gunzip rockyou.txt.gz rockyou.txt
再利用wpscan暴力破解的命令
得到用户密码为:
用户:mark
密码:helpdesk01
拿到后台去登录:
0x03插件rce漏洞getshell
一看是wp5.3的,很新的版本,后台漏洞没有发现,但是可以找插件漏洞,这里安装了一个activity monitor插件,百度了该插件的漏洞
发现存在rce漏洞,用kali里面的searchsploit来搜索也能搜出来exp
将其复制出来到dc6目录下
打开修改一些参数,
将这两个地方修改一下就好了,保存之后,kali先暂时开启web服务
python -m SimpleHTTPServer 80
然后在主机上访问
先在kali上开启一个nc监听,端口为html中的9999
然后主机上点击这个html的submit request
但这里不知道为什么没反弹成功,那么我们就使用抓包的形式来反弹shell
先进入到该插件的tools部分,打开bp,开启代理,然后点击lookup发送post包,bp即可抓取到
命令执行处在ip变量下面的值12处,
看到可以成功执行命令,那么我们在这儿执行一个反弹命令,将shell反弹到我的vps上
0x04水平越权
成功反弹。cd到home下对应的用户下,我是mark登录的,所以只能看普通用户下的根目录,root目录是访问不了的,在home下查找除root用户的其他用户的根目录下的文件
看到了mark目录下的子目录下存在一个txt文件,打开看看
我们看到了graham用户的密码,可以使用ssh直接连接,也可以使用su来切换用户,为了方便我们直接在交互式shell里面来切换用户吧。
查看当前用户可执行操作:sudo -l
发现jens/下面的backups.sh可以在当前用户下执行,那么切换到该目录下面去查看脚本内容
是备份网站根目录的作用,那么既然可以执行脚本,那么我们在脚本里面写入/bin/bash 命令,然后让jens用户运行不就可以获取到jens的shell了吗,反正是在jens目录下的脚本。
echo "/bin/bash" >> backups.sh sudo -u jens ./backups.sh
0x05nmap脚本提权
获取到jens的shell,查看它有哪些执行操作
发现可以执行root的nmap,也就是nmap是root权限
nmap工具是可以执行脚本的,那么我们把弹root用户shell的命令写入到nmap的脚本里面,然后用nmap命令执行即可切换到root用户的shell。
echo 'os.execute("/bin/sh")' > getShell sudo nmap --script=getShell
然后cd到root目录下,发现flag的txt文件