vulnhub dc-6 靶场实战
靶场地址:https://download.vulnhub.com/dc/DC-6.zip
信息收集
安装好靶场之后,还是先来扫一下ip
确定IP为:192.168.123.219
服务、端口、后台统统先扫一遍
直接浏览器访问一波192.168.123.219
发现访问不了,抓包查看后,发现需要设置一下重定向
设置重定向
这里我把kali和windows都设置了
- kali 修改 /etc/hosts
加入 192.168.123.219 wordy
- windows 修改 C:\Windows\System32\drivers\etc\hosts
然后使用ip访问就正常了
本想查一下是什么类型的cms
没想到网页下面就已经提示了
扫描后台
后台也扫到了
扫描用户
扫描一下用户,扫到了admin、graham、mark、sarah、jens 这五个用户
爆破密码
接下来就是爆破密码
之前已经使用过burpsuite自带的password字典,但是没有爆破出来
把这5个用户名存进txt,使用rockyou.txt字典来爆破
这玩意儿可真够等的
好家伙,这么久的时间(其实没跑出来,时间不等人,我在网上看的攻略,hydra也试了,特么都等好几个消失了),还好给我爆出来一个密码
mark:helpdesk01
登录后台看看
利用插件反弹shell
发现有一个activity monitor插件,下面这个tools功能可以尝试使用nc反弹shell
抓个包,构造一下
kali 开启监听
1 | nc -lvvp 8888 |
连接成功
获取交互式shell
1 | python -c 'import pty;pty.spawn("/bin/bash")' |
进入home目录看看这些用户文件里都有什么
graham: 里面什么都没有
jens: 存在一个backups.sh shell脚本
mark: 存在一个 things-to-do.txt 文本文件
sarah: 里面什么都没有
在mark用户的things-to-do.txt 里发现了graham的密码
切换到graham用户
看看有哪些可执行权限
1 | echo "/bin/bash" >> backups.sh |
现在我们就是jens用户了
nmap 提权
发现jens用户拥有nmap执行权限
1 | echo 'os.execute("/bin/sh")' > getshell |
成功拿到root权限
拿到flag