vulnhub DC-6

扫描获取靶机ip

扫描开放的端口服务

开了22还有80端口，访问80端口，是一个wordpress搭建的站（这里需要绑定域名才能正常访问）

wpscan扫描一下

没有发现什么漏洞，看看扫一下用户名然后爆破看看能不能行

wpscan --url http://wordy/ -e u

扫出来5个用户名，这里用top500没有爆破出来密码，搜了一下wp没想到这个靶机还有提示

使用提示的命令生成一个密码字典

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

再把那五个用户名保存下来，有wpscan爆破一下密码

wpscan --url http://wordy/ -U user.txt -P passwords.txt

访问wp-admin页面，使用爆破出来的用户密码登录

这里有一个插件是由漏洞的

输入框那里有输入限制，f12改一下输入限制长度

成功执行命令

尝试反弹shell

获取交互式shell

python -c 'import pty;pty.spawn("/bin/bash")'

去home目录下找一下那几个用户目录下有什么东西，在mark目录下发现一个txt文件

应该是一个备忘录之类的，记载了graham用户的密码，ssh试试能不能登录

成功登录graham用户，发现可以使用jens身份无密码执行这个文件

查看这个文件

修改一下这个文件，加入/bin/bash

没办法用vi编辑器修改，使用echo命令往文件里面追加内容

echo "/bin/bash" >>/home/jens/backups.sh

使用jens身份执行这个文件，成功切换到jens用户

sudo -l查看，看到这个用户可以使用root身份无密码执行nmap命令

上网搜索一下nmap提权

echo "os.execute('/bin/bash')" >> rootl
sudo nmap --script=rootl

这里只有切换到~目录才有权限执行

这里发现在输入的时候上面是不显示输入的内容的，输入完命令后直接执行就好，成功查看到flag