vulnhub-DC6靶场复盘
端口扫描
首先要根据vulnhub上面的提示 修改本机和kali的host文件
给了一个提示
让我们扫描 先把指定的密码字典存起来 我们用bp爆破管理员账户
web探测
这个站点是用wordpress创建的 可以访问readme.html 就可以看到哪里是登录界面 一般还会有版本信息
后台登录界面就在/wp-admin 现在就是爆破 用admin爆破 我们尝试了爆破 但是无法得到密码
现在用wpscan扫描 指定url 和apitoken 然后枚举用户名 wpscan --url wordy --enumerate u
然后把得到的用户名存在一个文件里面 爆破用户名和密码
接着就可以登录到管理员账户
然后利用web上的信息拿到shell 这里要用到插件的activity monitor 插件漏洞 用searchsploit
利用这个漏洞 修改payload 上传到本机 在web端访问
然后在web端点击这个文件 就可以拿到shell
提权
这个www用户目录下面其实没有什么有用的东西 ==去/home/== 目录下 这里可以看到其他几个用户的文件夹
找到jens用户 目录下有一个backup.shls -al backups.sh-rwxrwxr-x 1 jens devs 50 Apr 26 2019 backups.sh
可以看到devs组的人有rwx权限 所有用户都有x权限
然后在mark用户的文件夹下面有一个stuff文件夹 里面有一个账号密码 可以登录到ssh
graham@dc-6:~$ iduid=1001(graham) gid=1001(graham) groups=1001(graham),1005(devs)
这个用户是属于devs这个组的 所以有写入文件的权限
可以发现这个用户可以不用密码就用jens用户的名义执行刚才的那个脚本
我们先在那个脚本文件后面加上graham@dc-6:~$ echo "/bin/bash" >> /home/jens/backups.sh
这样子就可以让执行脚本的人返回shell 这样子就拿到了jens的shell
这个用户可以用root身份执行 nmap 所以用nmap提权
在网上找资料后 发现nmap可以用srcipt提权
或者可以把’os.execute(“/bin/bash”) 写到一个s.nse文件里 然后–script 传入这个文件