VulnHub靶机渗透之DC:6

本次为DC系列的最后一个靶机，属于扩展知识面类型的练习，整个过程并没有用到新的技巧，主要以积累经验为主。

第一步依然是端口扫描，靶机只开放了ssh和web服务。

由于网站会把连接跳转到域名主机名wordy，所以需要在hosts文件中将wordy与IP地址的对应关系手动写入，否则网站无法正常访问，在之前的几个环境中也有这个问题，我并没有说明，在这次补充上。

页面正常打开如下图，熟悉的界面，看来依然需要请出WPscan来扫描。

通过WPscan，可扫出5个用户名，将这5个用户名写入文件中准备暴力破解。

作者在vulnhub上给了个提示，为了减少暴力破解的时间，需要将包含“k01”的字符串从字典里筛选出来作为新字典用。

通过metasploit进行暴力破解。

完成后得到了mark的密码helpdesk01。

通过mark这个用户登陆wordpress的后台管理页面，并没有找到什么可以下手的地方。

万能的Google找到了答案，可以从activity monitor这个插件入手，查询sploitdb,发现了一个利用脚本。

将脚本的内容进行简单修改，即可实现反弹shell。

首先在本地用nc监听5555端口，运行刚才修改过的html文件，点击提交按钮即可成功反弹shell。

在mark目录下找到了一个stuff目录，里面有一个文本文件，记录了graham的密码。

通过graham成功登陆系统。

查看graham的特权，可以以jens用户身份免密码执行/home/jens/backups.sh这个脚本。

这个脚本在当前用户下有读写权限，修改脚本内容，在末尾增加/bin/bash，当执行时可以获得jens的shell。

查看jens的特权，可以免密码执行/usr/bin/nmap

nmap有执行脚本的功能，通过编写特殊脚本，可以实现利用nmap提权，如下图，方法来自于Google。

root目录下找到了flag。