Vulnhub DC-6 Walkthrough


Vulnhub DC-6 Walkthrough

前言

中午了,最近一直不知道在忙什么,而且最近吃的有点好,从今晚上开始决定先清单饮食个月,嗯,就这么愉快的决定了。这个靶场在下载的时候作者是有一个提示的,不然的话我觉得你可能呀花费很久的时间。

OK, this isn’t really a clue as such, but more of some “we don’t want to spend five years waiting for a certain process to finish” kind of advice for those who just want to get on with the job.

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt That should save you a few years. ;-)

答王郎中
韦应物

卧阁枉芳藻,
览旨怅秋晨。
守郡犹羁寓,
无以慰嘉宾。
野旷归云尽,
天清晓露新。
池荷凉已至,
窗梧落渐频。
风物殊京国,
邑里但荒榛。
赋繁属军兴,
政拙愧斯人。
髦士久台阁,
中路一漂沦。
归当列盛朝,
岂念卧淮滨。

信息收集

都说渗透测试,那渗透测试最重要的是什么呢,当然是信息收集了。渗透的最终目的不就是收集足够的信息嘛,拿到最终目标的 root 权限也可以理解为拿到了所有的信息。

IP 信息

arp-scan -l

端口信息

得,看到这里我就知道又要修改 /etc/hosts 文件了,添加一行。

10.0.2.8 wordy

探索 HTTP

发现这个网站是使用 wordpress 部署的,所以等会要去用 wpscan 扫一下 ,看看有什么用户名或者密码什么的。在此之前先用目录扫描工具扫一下看看有什么敏感信息。然而是什么都没有,哈哈,这个作者真是面面俱到啊

wpscan

wpscan --url http://wordy/ -e u

发现了五个用户名,将这些用户名存储到用户名字典中,结合本文最开始的时候作者的提示,所以我很容易的就想到了要是用 wpscan 对网站的用户名和密码进行爆破。

wpscan --url http://wordy/ -U username.txt -P password.txt

成功的爆出了一个账号密码。至于在哪里登陆?啥?你问我?这么简单的问题。。。。。用过的人都知道在哪里好吧。

反弹shell

至于进来之后的界面那就是这个样子的。

在后台直接扒拉了半天,终于找到了一个在如图所示的一个 ip-tool,熟悉的人都知道这地方很可能存在命令执行。我当然也想过就是说修改一下主页,用一下 PHP 的反弹 shell 的代码,但是理想很丰满,显示很骨感,奈何我不是管理员登陆的啊,我没权限啊,只能这样了。

开始提权

还是老样子,先把我的这个 linpeas.sh 传到机器上,跑一下看看有什么特殊的地方被发现。

# 数据库的账号密码
-rw-r--r-- 1 www-data devs 3268 Apr 26  2019 /var/www/html/wp-config.php                                    
define( 'DB_NAME', 'wordpressdb' );
define( 'DB_USER', 'wpdbuser' );
define( 'DB_PASSWORD', 'meErKatZ' );
define( 'DB_HOST', 'localhost' );

所以我进来了数据库看看,看看有没有什么账号密码什么的。

爆破密码

还是不行啊,这个密码看来是有些复杂,简单的爆破没有进展,这个时候又在家目录下扒拉一下,在 mark 的目录下找到了一个文件 things-to-do.txt

Things to do:

  • Restore full functionality for the hyperdrive (need to speak to Jens)
  • Buy present for Sarah’s farewell party
  • Add new user: graham - GSo7isUM1D4 - done
  • Apply for the OSCP course
  • Buy new laptop for Sarah’s replacement

登陆SSH

不使用 nc 反弹的这种连提示都没有的 shell,非常的难用。

这里看出,graham 用户也在 devs 组里面,所以说也是可以编辑这个文件的。所以这里的思路就是在 /home/jens/backups.sh 写入 /bin/sh,意思就是以 jens 的身份打开一个终端。

jens@dc-6:/home/graham$ sudo -l
Matching Defaults entries for jens on dc-6:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin

User jens may run the following commands on dc-6:
    (root) NOPASSWD: /usr/bin/nmap

nmap提权

丝毫不用担心,这里是没有回显的,可以放心的输入


文章作者: Justice
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Justice !
  目录