靶场攻略-DC6

声明:请勿利用文中相关技术非法测试,如因此产生的一切不良后果与文章作者及本公众号无关!

DC-6是一个易受攻击的实验环境,最终目的是让入侵者获得root权限,并读取flag。DC_6使用的操作系统为Debian 64位,可以再virtualBox VM ware上直接运行。作者在后面列出了相关提示:

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

靶场下载链接:

Download: http://www.five86.com/downloads/DC-6.zip
Download (Mirror): https://download.vulnhub.com/dc/DC-6.zip
Download (Torrent): https://download.vulnhub.com/dc/DC-6.zip.torrent ( Magnet)

01

环境搭建

根据作者的安装说明,将压缩文件下载后,通过vm或者virtualbox打开即可,注意由于作者设置为桥接模式,为了试验方便此处可以人为改为NAT模式。

02

主机发现

通过arp(地址解析协议)进行局域网内主机发现,arp是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。此处利用metasploit工具下auxiliary模块,通过arp协议发现内网主机的ip地址为192.168.71.132。

03

端口探测

利用nmap工具进行端口探测,相信大家对于nmap已经相当熟悉了,下面列举了一些nmap常见参数:

-sT TCP扫描 -sS SYN扫描 -sF FIN扫描 -sA ACK扫描 -sU UDP扫描 -sR RPC扫描 -sP ICMP扫描 -sn ping扫描 -iL 文件读取ip地址 -O 操作系统识别 -T4 级别越高,扫描速度越快 -sV 版本检测(sV)

-oN 标准保存 -oX XML保存 -oG Grep保存 -oA 保存到所有格式 --host-timeout 主机超时时间 通常为18000 --open 只显示开放端口

有端口扫描结果可知系统开放了两个端口:22端口(ssh),80端口(http)。此处有两个利用思路,第一种是通过hydra对ssh服务进行爆破,第二种思路则是通过web进行渗透。可以进一步发现http服务被重定向到了http://wordy/

04

访问web服务

由于web服务被重定向到了http://wordy/ 此时可以本地添加域名到主机文件,这样以后我们访问http://wordy/就相当于访问对应的ip地址。添加完域名及对应ip后,可以发现已经能够访问http://wordy/ vim /etc/hosts

05

利用工具对wordpress网站信息搜集

查看打开的页面为wordpress搭建的web环境,利用工具wpscan对该web环境进黑盒扫描(WPScan是一个扫描WordPress漏洞的黑盒子扫描器),可以获取到wordpress的版本,主题,插件,后台用户以及后台用户密码等。执行过程如下:

wpscan --url http://wordy --enumerate vp --enumerate vt --enumerate t --enumerate u

获取到的可用信息如下:

http://wordy/xmlrpc.phphttp://wordy/readme.htmlhttp://wordy/wp-cron.php
wordpress版本为:5.1.1Author: the WordPress team
枚举出的用户姓名如下:
admin
graham
mark
sarah
jens

06

利用已知提示登录系统

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

在kali系统执行词条语句,生成密码字典passwords.txt

根据枚举出的用户名和密码进行登录(http://wordy/wp-login.php)可以看到如下图所示界面,通过wordspress管理后台分析,并没有发现可以利用的漏洞。此时尝试寻找是否存在插件漏洞:activity monitor

07

activity monitor 漏洞利用

将45274.html中的内容根据如下格式进行修改:

nc -l -v -p 9999在本机进行监听,通过web访问45274.html文件,点击运行后。可以看到nc成功反弹,效果如下图所示:

进一步执行如下指令获取完整的shell:

python -c 'import pty; pty.spawn("/bin/bash")'

通过目录查看,发现在/home/mark/stuff目录下存在thing-to-do.txt文件,其内容为:

Things to do:
- Restore full functionality for the hyperdrive (need to speak to Jens)
- Buy present for Sarah's farewell party
- Add new user: graham - GSo7isUM1D4 - done
- Apply for the OSCP course
- Buy new laptop for Sarah's replacement

添加了一个用户graham 口令为 GSo7isUM1D4 ,因为系统开放了22端口,此时可以通过ssh登录该用户。

08

提权

ssh graham@192.168.1.103
输入登录口令:GSo7isUM1D4

ssh成功进行了登录,此时登录用户为graham。

继续输入 sudo -l 查看可执行的操作。发现能够以jens用户,不使用口令执行情况下执行backups.sh。打开文件backups.sh为一个文件减压的命令行,可将减压指令删除,换成/bin/bash以jens用户去执行操作。

此时用户为jens,进一步,继续执行sudo -l查询可执行的操作,发现能够以root用户,在不使用口令的的情况下执行nmap。故可通过nmap指令调用自己设定好的脚本如执行/bin/bash。新建一个nmap可执行的脚本 root.nse,输入如下内容:

通过nmap运行该root.nse脚本,进入root用户。

本文分享自微信公众号 - 贝塔安全实验室(BetaSecLab),作者:betaseclabs

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-10-24

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 某大学渗透测试实战靶场报告-Part1

    这次应我们贝塔团队成员“蜗牛”老哥的邀请与团队成员共同参与了这次某大学渗透测试实战靶场打靶,正好最近闲着没事就当拿来练练手了。根据攻击A组群里给的两份Word文...

    贝塔安全实验室
  • 打造不一样的Shfit映像劫持后门

    0x00 大家一定都知道映像劫持后门,修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current...

    贝塔安全实验室
  • Chatterbox(hack the box系列)

    Achat Exploit : https://www.youtube.com/watch?v=YgC_Rl6x3aM

    贝塔安全实验室
  • 解决Laravel5.2 Auth认证退出失效的问题

    登录正常,但是退出的时候并没有清掉session,退出后还是处于登录状态。解决方法如下:

    砸漏
  • 2016年第七届C/C++ B组蓝桥杯省赛真题

    有一堆煤球,堆成三角棱锥形。具体: 第一层放1个, 第二层3个(排列成三角形), 第三层6个(排列成三角形), 第四层10个(排列成三角形),… 如果...

    小二哥
  • php 策略模式原理与应用深入理解

    例1:比如购买商品需要支付,你可以提供 微信支付、支付宝支付、支付通支付。。。。(不同的支付方式就是不同的策略)

    砸漏
  • 德勤:中国人工智能产业白皮书

    添加微信ddkjzx1,加入实名交流群与金融科技领域的创业者、投资者以及专业人士交流,备注 “点滴科技”!

    点滴科技资讯
  • 百度瞄上车联网?

    Tesla入华了,马斯克成为科技节顶礼膜拜的神,谁都可以遇见,汽车与科技的结合是下一波浪潮。除了Tesla之外,Apple CarPlay和Google无人驾...

    罗超频道
  • JVM底层执行原理

    其中堆和元空间,存在的数据时共享的,那么并发的问题就会在这这两个区域发生。而线程私有区域是不会发生。

    MickyInvQ
  • async/await 源码实现

    如果你有一个这样的场景,b依赖于a,c依赖于b,那么我们只能通过promise then的方式实现。这样的的可读性就会变得很差,而且不利于流程控制,比如我想在某...

    用户4131414

扫码关注云+社区

领取腾讯云代金券