ドローンvulnhub DC6戦闘（ワードプレス+ nmapの権利を提供）

0x00の環境

DC6ドローンダウンロード：https://download.vulnhub.com/dc/DC-6.zip

VMwareの中にオープンモードでnat DC6

kali2019がNATモードで起動し、IPアドレスが192.168.106.145であります

0x01の情報収集

これは、nmapのスキャンIPホストの生存を発見されました

 

 

 私たちは、ターゲットホストのIPアドレスが192.168.106.148で見つけ、その後、ポートスキャン

 

 

 

 22と80は、アクセスのWebサービスに、開いているポートを見つけました

 

 

 アクセス障害が、見つかったドメイン名は、ローカルホスト上のファイルを変更失敗解決する必要があります

Cのウィンドウでhostsファイル：\ WINDOWS \ SYSTEM32 \ drivers \ etcに\ホスト

Linuxで\ ETC \ hosts内

そこ権限の問題windiws、変更内容を保存するために、再度開くために直接PowerShellのオープンメモ帳

 

 

 

 

 

 その後、ターゲットサイトにアクセスすることができます

 

 

 Wordpressのサイトが発見され、その後、我々はwpscanスキャンを使用することができ、前にディレクトリをスキャンする最初のスキャン

 

 

 何もwpscanでスキャンすることができた後に、これは、ユーザをスキャン

wpscan --urlます。http：// 長ったらしい--enumerate U

 

 

 ファイブがユーザーに掃引された、つまり、管理者、グラハム、マーク、サラ、イェンス

0x02のログインウェブ

これらのUSER.TXTへの書き込みには、いくつかのユーザーの間で

 

 

 そして、使用はwordpressの関連するパスワード辞書は長ったらしい-pass.dic生成cewl

cewl長ったらしい-w長ったらしい、pass.dic

 

 

 Wpscan使用ブルートフォースユーザーパスワード、構文：

wpscan --url 長ったらしい-Uユーザ名.txtの-P パス.DIC 

 

 

 没找到密码，再回去看看有什么提示，https://www.vulnhub.com/entry/dc-6,315/

 

 

 提示到使用kali里面的rockyou.txt字典

 

 

 先解压，然后将里面的k01的部分导出到dc6目录下面的passwords.txt

gunzip rockyou.txt.gz rockyou.txt

 

 

 

 

 

 再利用wpscan暴力破解的命令

 

 

 得到用户密码为：

用户：mark
密码：helpdesk01

拿到后台去登录：

 

 

0x03插件rce漏洞getshell 

一看是wp5.3的，很新的版本，后台漏洞没有发现，但是可以找插件漏洞，这里安装了一个activity monitor插件，百度了该插件的漏洞

 

 

 发现存在rce漏洞，用kali里面的searchsploit来搜索也能搜出来exp

 

 

 将其复制出来到dc6目录下

 

 

 打开修改一些参数，

 

 将这两个地方修改一下就好了，保存之后，kali先暂时开启web服务

python -m SimpleHTTPServer 80

然后在主机上访问

 

 

 

 先在kali上开启一个nc监听，端口为html中的9999

 

 然后主机上点击这个html的submit request

但这里不知道为什么没反弹成功，那么我们就使用抓包的形式来反弹shell

 

 先进入到该插件的tools部分，打开bp，开启代理，然后点击lookup发送post包，bp即可抓取到

 

 命令执行处在ip变量下面的值12处，

 

 看到可以成功执行命令，那么我们在这儿执行一个反弹命令，将shell反弹到我的vps上

 

 

 

 0x04水平越权

 成功反弹。cd到home下对应的用户下，我是mark登录的，所以只能看普通用户下的根目录，root目录是访问不了的，在home下查找除root用户的其他用户的根目录下的文件

 

 看到了mark目录下的子目录下存在一个txt文件，打开看看

 

 我们看到了graham用户的密码，可以使用ssh直接连接，也可以使用su来切换用户，为了方便我们直接在交互式shell里面来切换用户吧。

 

 查看当前用户可执行操作：sudo -l

 

 发现jens/下面的backups.sh可以在当前用户下执行，那么切换到该目录下面去查看脚本内容

 

 是备份网站根目录的作用，那么既然可以执行脚本，那么我们在脚本里面写入/bin/bash 命令，然后让jens用户运行不就可以获取到jens的shell了吗，反正是在jens目录下的脚本。

echo "/bin/bash" >> backups.sh
sudo -u jens ./backups.sh

 0x05nmap脚本提权

 获取到jens的shell，查看它有哪些执行操作

 

 发现可以执行root的nmap，也就是nmap是root权限

nmap工具是可以执行脚本的，那么我们把弹root用户shell的命令写入到nmap的脚本里面，然后用nmap命令执行即可切换到root用户的shell。

echo 'os.execute("/bin/sh")' > getShell
sudo  nmap  --script=getShell

 

 然后cd到root目录下，发现flag的txt文件