0x00環境
dc6靶機下載地址:https://download.vulnhub.com/dc/DC-6.ziphtml
dc6以nat模式在vmware上打開python
kali2019以nat模式啓動,ip地址爲192.168.106.145linux
0x01信息收集
用nmap掃描存活主機進行ip發現web
發現了目標主機ip爲192.168.106.148,而後進行端口掃描shell
發現開放了22和80端口,那麼訪問web服務windows
訪問失敗可是發現有域名,應該是解析失敗,那麼在本地上修改hosts文件bash
windows下的hosts文件在c:\windows\system32\drivers\etc\hostsssh
linux下的在\etc\hostswordpress
windiws下有權限問題,直接powershell打開再記事本打開便可保存修改工具
而後便可訪問目標網站
發現是wordpress的網站,那麼咱們能夠利用wpscan進行掃描,在掃描以前先進行目錄掃描
沒什麼東西以後就能夠用wpscan進行掃描,先掃描有哪些用戶
wpscan --url http://wordy --enumerate u
共掃到五個用戶,分別是admin, graham, mark, sarah, jens
0x02登陸後臺
將這幾個用戶寫入到user.txt當中
而後使用cewl生成wordpress相關的密碼字典wordy-pass.dic
cewl wordy -w wordy-pass.dic
利用wpscan進行暴力破解用戶密碼,語法:
wpscan --url wordy -U 用戶名.txt -P pass.dic
沒找到密碼,再回去看看有什麼提示,https://www.vulnhub.com/entry/dc-6,315/
提示到使用kali裏面的rockyou.txt字典
先解壓,而後將裏面的k01的部分導出到dc6目錄下面的passwords.txt
gunzip rockyou.txt.gz rockyou.txt
再利用wpscan暴力破解的命令
獲得用戶密碼爲:
用戶:mark 密碼:helpdesk01
拿到後臺去登陸:
0x03插件rce漏洞getshell
一看是wp5.3的,很新的版本,後臺漏洞沒有發現,可是能夠找插件漏洞,這裏安裝了一個activity monitor插件,百度了該插件的漏洞
發現存在rce漏洞,用kali裏面的searchsploit來搜索也能搜出來exp
將其複製出來到dc6目錄下
打開修改一些參數,
將這兩個地方修改一下就行了,保存以後,kali先暫時開啓web服務
python -m SimpleHTTPServer 80
而後在主機上訪問
先在kali上開啓一個nc監聽,端口爲html中的9999
而後主機上點擊這個html的submit request
但這裏不知道爲何沒反彈成功,那麼咱們就使用抓包的形式來反彈shell
先進入到該插件的tools部分,打開bp,開啓代理,而後點擊lookup發送post包,bp便可抓取到
命令執行處在ip變量下面的值12處,
看到能夠成功執行命令,那麼咱們在這兒執行一個反彈命令,將shell反彈到個人vps上
0x04水平越權
成功反彈。cd到home下對應的用戶下,我是mark登陸的,因此只能看普通用戶下的根目錄,root目錄是訪問不了的,在home下查找除root用戶的其餘用戶的根目錄下的文件
看到了mark目錄下的子目錄下存在一個txt文件,打開看看
咱們看到了graham用戶的密碼,能夠使用ssh直接鏈接,也能夠使用su來切換用戶,爲了方便咱們直接在交互式shell裏面來切換用戶吧。
查看當前用戶可執行操做:sudo -l
發現jens/下面的backups.sh能夠在當前用戶下執行,那麼切換到該目錄下面去查看腳本內容
是備份網站根目錄的做用,那麼既然能夠執行腳本,那麼咱們在腳本里面寫入/bin/bash 命令,而後讓jens用戶運行不就能夠獲取到jens的shell了嗎,反正是在jens目錄下的腳本。
echo "/bin/bash" >> backups.sh sudo -u jens ./backups.sh
0x05nmap腳本提權
獲取到jens的shell,查看它有哪些執行操做
發現能夠執行root的nmap,也就是nmap是root權限
nmap工具是能夠執行腳本的,那麼咱們把彈root用戶shell的命令寫入到nmap的腳本里面,而後用nmap命令執行便可切換到root用戶的shell。
echo 'os.execute("/bin/sh")' > getShell sudo nmap --script=getShell
而後cd到root目錄下,發現flag的txt文件