DC-6靶机渗透

DC-6靶机渗透

常规扫描，nmap

wordpree5.11
wpscan扫一下用户，再次之前先把域名解析设置好哟

保存成username.txt字典，然后cewl 收集一下，做成password字典
爆破无果。然后又用自己的收集的字典，也没成功
然后卡住了，中间也尝试通过账号去爆破ssh，也无果，后面看到作者的提示
利用wordlist内部的字典
注意。第一次用可能会显示没有这个文件，这时候去该目录下，把相应的压缩包解压即可
![在这里插入图片描述](https://img-blog.csdnimg.cn/20200613135519426.png
拿到一个账号登录，后台
发现有这个插件

以admin来监视后台登录情况
然后搜索该插件漏洞，找到一个csrf+xss，从而执行任意命令执行
后面看了一下poc

找到存在漏洞的接口，点击CONVERT，然后bp抓包

加上反弹shell的命令，kali监听4444端口
反弹shell成功
输入
python -c “import pty;pty.spawn(’/bin/bash’)” 进入交互式shell
常规信息收集

可利用提权没有，然后到家目录下看看其他用户有没有可以利用的，在mark中找到一个账户，然后ssh上去
在此之前，也试过mark用户ssh，没有成功

发现一个ssh脚本，然后再后面加入反弹shell内容

在以jens用户身份运行，反弹shell，然后又成功横向到jens用户

然后发现root权限运行的nmap
写一个脚本


然后nmap运行，拿到root权限，读取flag.txt

总结：这里坑点是爆破的字典，也发现一个实质问题，wordpresscms框架本身没有什么太大的安全问题，问题出在插件上面。wpscan这个工具就是扫描存在插件版本，来窥探其漏洞。