DC 6

下载地址:https://download.vulnhub.com/dc/DC-5.zip

实战演练

靶场IP地址:192.168.32.165

image-20220713112654290

扫描对外开放端口

访问80端口会跳转到wordy域名,需要配置本地hosts

image-20220713112942673

发现web框架是wordpress

image-20220713113128077

使用wpscan寻找用户

盒子 DCAU 的作者在网站上给出了线索。线索让我们用它来生成密码文件。

太好了,我们得到了用户的密码mark

使用此密码访问 wordpress。

image-20220713122141709

开发wordpress插件,我们可以看到一个插件Activity monitor

image-20220713122212561

这个插件有一个可利用的漏洞,你可以在这里查看。该插件容易受到操作系统命令注入的影响。

我们必须修改我们的 POST 请求以使其工作。

使用 .html 扩展名保存上述文件,并通过浏览器通过设置 python http 服务器导航到 html 文件。

image-20220713122448614

设置监听器并通过单击按钮我们得到外壳。

image-20220713122505734

在用户标记的主目录中,我发现things-to-do.txt. 该文件包含用户的密码graham

image-20220713122800450

端口 22 对 ssh 开放,在这里我尝试使用凭据与 ssh 连接。然后查看 sudoers 列表,发现 graham/home/jens/backups.sh不用密码也可以作为 jens 运行。

查看backups.sh文件内容和脚本权限

在脚本添加bash

现在我们以牛仔裤的身份成功登录

我再次检查了 sudoers 列表,发现 jens 可以在/usr/bin/nmap没有密码的情况下以 root 身份运行。

flag

image-20230208134434441
上一页DC 4下一页DC 8

最后更新于

这有帮助吗?