DC-6靶机通关
今天我们来学习一下DC-6这个靶机!!!1.实验环境
攻击机:kali2023.2
靶机:DC-6
2.1扫描网段https://i-blog.csdnimg.cn/direct/b3991ecd2e2f4556a424fb371ae6265e.png
2.2扫描端口https://i-blog.csdnimg.cn/direct/27735a34db41434e87d647371a05f9e1.png
这次是比较经典的一个22端口,一个80端口!!!首先我们应该想到 爆破 22端口,但是这边的话咱们先看一下对方的网页再说吧!!!
3.1查看对方的网页https://i-blog.csdnimg.cn/direct/b2aaa5d29cf2476b9d72b211e97ab55b.png
发现看不了,然后跳转到一个 wordy 什么玩意儿,这个咱们之前遇到过 ,需要改一下 /etc/hosts 中的配置!!!https://i-blog.csdnimg.cn/direct/b7282088c4904611b20b9eb89dd5d5c7.pnghttps://i-blog.csdnimg.cn/direct/13beefbd50e54077ac6e3b6d5fc6b5eb.png
然后我们就能成功访问到了!!!
3.2发现用户登陆界面
https://i-blog.csdnimg.cn/direct/cfd64d0471d24e349de5325516969777.png
3.3实验扫描一下用户名有哪些
https://i-blog.csdnimg.cn/direct/866f9357c8ec496fb218f5bc539dd516.png
发现以下用户名,然后我这里首先想到的就是能不能爆破一下!!!https://i-blog.csdnimg.cn/direct/ac62dfb27b4a492db7fc5da5b2245aa2.png
3.4实验爆破
这里我一开始没有看提示,直接拿bp爆破的,速度特别慢,用了一天一夜都没爆完,后来我看玩提示发现他告诉我们该用哪个字典了!!!
然后咱们就是创建一个用户名文件,再把他告诉我们的谁人字典拿过来,用wpscan爆破一下即可!!!https://i-blog.csdnimg.cn/direct/5a78dfc28d5c448aa86717e153ebaa2e.pnghttps://i-blog.csdnimg.cn/direct/2c1fc8cfdc8143de855f8d2e55d88656.png
这里成功拿到一个账号暗码,到这里真的很晕前面走错了方向,浪费了两天时间,而且这里吐槽一下 bp 爆破起来真的好慢,大家也很慢吗?照旧我这里的设置有问题!!!
4.1登录探求线索https://i-blog.csdnimg.cn/direct/e9a97f579ca5420e941337466a32982c.png
这里我没发现什么可以利用的东西,然后搜了一下,大家看一下导航侧栏最下面那两个东西,谁人是wp的插件,网上说这玩意儿的插件的漏洞贼多,于是我搜了一下!!!
4.2实验搜索插件漏洞https://i-blog.csdnimg.cn/direct/002faf67c29543e59ce67eb5faca98dc.png
我都试了一下,发现第三个是可以用的!!!
4.3利用漏洞获取shell
这个玩意儿的漏洞的用法是我也是大概搜了一下!!!https://i-blog.csdnimg.cn/direct/bb4556c69246469cac743fbd71376325.png
自己创建一个html文件,然后把这部门复制进去,然后把里面的一些参数改成自己的即可!!!https://i-blog.csdnimg.cn/direct/4fcd7842a88f448a887066783c746881.png
然后开启 kali 的阿帕奇服务,将这个文件上传上去,然后开启自己的监听端口,再执行以下这个html文件就可以反弹一个shell了!!!https://i-blog.csdnimg.cn/direct/8fe1368e4f894f9997b69a94ce00b58b.png
5.1美化shellhttps://i-blog.csdnimg.cn/direct/74a2a7fce6a74f58a9eb7787b12de170.png
5.2探求线索
会发现 home 目次下的文件夹里有东西https://i-blog.csdnimg.cn/direct/94b00cdd935d4814a1b6585d2442764e.png
这个东西我们执行不了,由于只有jens或者 devs组里里的人才可以执行!!!https://i-blog.csdnimg.cn/direct/effe42b8c1364d3ba59df5cc42fd293d.png
然后我们继续找其他文件夹里看有没有什么东西,发现了别的一个账号暗码!!!
5.3登录grahamhttps://i-blog.csdnimg.cn/direct/11096adb7e514b2d8782e910d7a8ba8d.png
登上来以后看一下它属于哪个组!!!https://i-blog.csdnimg.cn/direct/19c9598d1c544835af21587ba241446a.png
会发现他是这个组的,说明他可以执行刚刚谁人文件!!!https://i-blog.csdnimg.cn/direct/b8b5a517561f4f8a994c60615a3d2806.png
5.4 sudo -l
sudo 后发现她固然不能以 root 用户执行什么东西,但是却可以以jens身份执行谁人文件,其实这里我跟没有想到要去 sudo 由于我觉得肯定不是拿这个用户来举行提权。这里的哈也是看到提示才用了一下这个下令!!!
大家以后每切换一个平凡用户就去实验执行一下这个下令,说不定会有意外收获呢!!!
5.5切换到 jens
然后思索了一下,他这里其实就是想让我们用一种新的方法来切换用户,以前我们都是这样直接切换到 root 用户,那我们现在用这个下令切换到别的一个平凡用户他不是同一个道理吗?
我们知道谁人可执行文件是一个 shell 脚本 ,那我们如果在里面追加一条打开shell的下令并执行,那么他不是就可以给我们得到一个下令执行者的shell了吗?
https://i-blog.csdnimg.cn/direct/6f8241ee696048e8bec9e002664a960d.png
这样我们就拿到 jens 的shell 了,这个方法照旧听巧妙的,比起我们以往直接通过账号暗码来切换平凡用户!!!
5.6预备提权
这个时候我们几乎已经把全部条件用完了,以是猜测是通过这个jens用户来提权!!!https://i-blog.csdnimg.cn/direct/b2453485f3c345ac945b74220f179037.png
果然是这样!!!
6.1namp提权
原理的话大家可以去搜一下,自己明白明白,我大概看了一下就是利用了 nmap 可以执行自己写的脚本的特性,自己这个特性是用来让大家 执行更加丰富的扫描指令的,但是如果咱们把脚本的内容改一下,改成提权的相关指令,然后我们现在又可以以root权限运行,那我们不是就能轻松拿到 root的shell了吗?
6.2 namp脚本编写
现在大家只要相识一下 nmap 的脚本怎么写即可!!!用的是一种叫做 lua 的语言写的!!!
nmap脚本的后缀是 .nes !!!https://i-blog.csdnimg.cn/direct/7b5d1d37a1d44de993886d56c26be160.png
这个的意思就是写了一句话追加到 root.nse这个脚本中去,然后这句话的意思是在nmap脚本的规则下打开一个shell
6.3运行脚本提权https://i-blog.csdnimg.cn/direct/a41088235042417096670ae0aa52e8dc.png
运行这个脚本就会发现为我们打开了一个 root 的shell 到这里就提权成功了!!!
7.1拿下 flaghttps://i-blog.csdnimg.cn/direct/1d3a86d0be24436db6af498ef40282c3.png
8.1总结
做完感觉这个靶机照旧很有意思的,而且它其实不难,但是这个思路真的很有意思。
首先他的关键点在于让我们通过wp插件的漏洞去拿到webshell
其次就是平凡用户间的博弈,以往我们都是通过账号暗码看来举行切换,而这次是通过sudo平凡用户来切换
然后最后的提权照旧用的sudo,确实也听巧妙的,这次我愿称之为将 sudo 举行到底!!!
~~~~~持续更新中
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]