0x00環境
dc6靶機下載地址:https://download.vulnhub.com/dc/DC-6.zip
dc6以nat模式在vmware上打開
kali2019以nat模式啟動,ip地址為192.168.106.145
0x01信息收集
用nmap掃描存活主機進行ip發現
發現了目標主機ip為192.168.106.148,然后進行端口掃描
發現開放了22和80端口,那么訪問web服務
訪問失敗但是發現有域名,應該是解析失敗,那么在本地上修改hosts文件
windows下的hosts文件在c:\windows\system32\drivers\etc\hosts
linux下的在\etc\hosts
windiws下有權限問題,直接powershell打開再記事本打開即可保存修改
然后即可訪問目標網站
發現是wordpress的網站,那么我們可以利用wpscan進行掃描,在掃描之前先進行目錄掃描
沒什么東西之后就可以用wpscan進行掃描,先掃描有哪些用戶
wpscan --url http://wordy --enumerate u
共掃到五個用戶,分別是admin, graham, mark, sarah, jens
0x02登錄后台
將這幾個用戶寫入到user.txt當中
然后使用cewl生成wordpress相關的密碼字典wordy-pass.dic
cewl wordy -w wordy-pass.dic
利用wpscan進行暴力破解用戶密碼,語法:
wpscan --url wordy -U 用戶名.txt -P pass.dic
沒找到密碼,再回去看看有什么提示,https://www.vulnhub.com/entry/dc-6,315/
提示到使用kali里面的rockyou.txt字典
先解壓,然后將里面的k01的部分導出到dc6目錄下面的passwords.txt
gunzip rockyou.txt.gz rockyou.txt
再利用wpscan暴力破解的命令
得到用戶密碼為:
用戶:mark
密碼:helpdesk01
拿到后台去登錄:
0x03插件rce漏洞getshell
一看是wp5.3的,很新的版本,后台漏洞沒有發現,但是可以找插件漏洞,這里安裝了一個activity monitor插件,百度了該插件的漏洞
發現存在rce漏洞,用kali里面的searchsploit來搜索也能搜出來exp
將其復制出來到dc6目錄下
打開修改一些參數,
將這兩個地方修改一下就好了,保存之后,kali先暫時開啟web服務
python -m SimpleHTTPServer 80
然后在主機上訪問
先在kali上開啟一個nc監聽,端口為html中的9999
然后主機上點擊這個html的submit request
但這里不知道為什么沒反彈成功,那么我們就使用抓包的形式來反彈shell
先進入到該插件的tools部分,打開bp,開啟代理,然后點擊lookup發送post包,bp即可抓取到
命令執行處在ip變量下面的值12處,
看到可以成功執行命令,那么我們在這兒執行一個反彈命令,將shell反彈到我的vps上
0x04水平越權
成功反彈。cd到home下對應的用戶下,我是mark登錄的,所以只能看普通用戶下的根目錄,root目錄是訪問不了的,在home下查找除root用戶的其他用戶的根目錄下的文件
看到了mark目錄下的子目錄下存在一個txt文件,打開看看
我們看到了graham用戶的密碼,可以使用ssh直接連接,也可以使用su來切換用戶,為了方便我們直接在交互式shell里面來切換用戶吧。
查看當前用戶可執行操作:sudo -l
發現jens/下面的backups.sh可以在當前用戶下執行,那么切換到該目錄下面去查看腳本內容
是備份網站根目錄的作用,那么既然可以執行腳本,那么我們在腳本里面寫入/bin/bash 命令,然后讓jens用戶運行不就可以獲取到jens的shell了嗎,反正是在jens目錄下的腳本。
echo "/bin/bash" >> backups.sh sudo -u jens ./backups.sh
0x05nmap腳本提權
獲取到jens的shell,查看它有哪些執行操作
發現可以執行root的nmap,也就是nmap是root權限
nmap工具是可以執行腳本的,那么我們把彈root用戶shell的命令寫入到nmap的腳本里面,然后用nmap命令執行即可切換到root用戶的shell。
echo 'os.execute("/bin/sh")' > getShell sudo nmap --script=getShell
然后cd到root目錄下,發現flag的txt文件
