靶場攻略 | vulhub_DC6

DC-6是一個易受攻擊的實驗環境，最終目的是讓入侵者獲得root權限，并讀取flag。通過tweet可以聯系到作者@DCAU7。DC_6使用的操作系統為Debian 64位，可以在VirtualBox、VMware上直接運行。

靶場下載鏈接：

Download：
http://www.five86.com/downloads/DC-6.zip
Download (Mirror)：
https://download.vulnhub.com/dc/DC-6.zip
Download (Torrent)：
https://download.vulnhub.com/dc/DC-6.zip.torrent (Magnet)

注：該靶機作者在后面給出了相關提示：

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

(1) 環境搭建

根據作者的安裝說明，將壓縮文件下載后，通過vm或者virtualbox打開即可，注意由于作者設置為橋接模式，為了試驗方便此處可以改為NAT模式。

(2) 主機發現

通過arp(地址解析協議)進行局域網內主機發現，arp是根據IP地址獲取物理地址的一個TCP/IP協議。主機發送信息時將包含目標IP地址的ARP請求廣播到網絡上的所有主機，并接收返回消息，以此確定目標的物理地址；收到返回消息后將該IP地址和物理地址存入本機ARP緩存中并保留一定時間，下次請求時直接查詢ARP緩存以節約資源。此處利用metasploit工具下auxiliary模塊，通過arp協議發現內網主機的ip地址為192.168.71.132。

(3) 端口探測

利用nmap工具進行端口探測，相信大家對于nmap已經相當熟悉了，下面列舉了一些nmap常見參數：

-A：一次掃描包含系統探測、版本探測、腳本掃描和跟蹤掃描

......作者太懶了0.0！

往端口掃描結果可知系統開放了兩個端口：22端口(ssh)，80端口(http)。此處有兩個利用思路，第一種是通過hydra對ssh服務進行爆破，第二種思路則是通過web進行滲透。可以進一步發現http服務被重定向到了http://wordy/

(4) 訪問web服務

由于web服務被重定向到了 http://wordy/ 此時可以本地添加域名到主機文件，這樣以后我們訪問 http://wordy/ 就相當于訪問對應的ip地址。添加完域名及對應ip后，可以發現已經能夠訪問http://wordy/ 。

(5) 利用工具對wordpress網站信息搜集

查看打開的頁面為wordpress搭建的web環境，利用工具wpscan對該web環境進黑盒掃描（WPScan是一個掃描WordPress漏洞的黑盒子掃描器），可以獲取到wordpress的版本，主題，插件，后臺用戶以及后臺用戶密碼等，執行過程如下：

wpscan --url http://wordy --enumerate vp --enumerate vt --enumerate t --enumerate u

獲取到的可用信息如下：

url鏈接：
http://wordy/xmlrpc.php
http://wordy/readme.html
http://wordy/wp-cron.php
wordpress版本為：5.1.1
Author: the WordPress team
枚舉出的用戶姓名如下：
admin
graham
mark
sarah
jens

(6) 利用已知提示登錄系統

在kali系統執行以下命令，生成一個帶有k01的新密碼字典passwords.txt，rockyou.txt.gz文件需要自己解壓縮，gunzip rockyou.txt.gz。

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

根據枚舉出的用戶名和密碼進行登錄（http://wordy/wp-login.php），可以看到如下圖所示界面，通過wordspress管理后臺分析，并沒有發現可以利用的漏洞。此時嘗試尋找是否存在插件漏洞：activity monitor

(7) activity monitor漏洞利用

將exploits/php/webapps/45274.html中的內容根據如下格式進行修改：

nc -l -v -p 9999 在本機進行監聽，通過web訪問45274.html文件，點擊運行后。可以看到nc成功反彈，效果如下圖所示：

進一步執行如下指令獲取完整的shell：

python -c 'import pty; pty.spawn("/bin/bash")'

通過目錄查看，發現在/home/mark/stuff目錄下存在thing-to-do.txt文件，其內容為：

Things to do:
- Restore full functionality for the hyperdrive (need to speak to Jens)
- Buy present for Sarah's farewell party
- Add new user: graham - GSo7isUM1D4 - done
- Apply for the OSCP course
- Buy new laptop for Sarah's replacement

添加了一個用戶graham 口令為 GSo7isUM1D4 ，因為系統開放了22端口，此時可以通過ssh登錄該用戶。

(8) 漏洞利用與提權

ssh graham@192.168.1.103
輸入登錄口令：GSo7isUM1D4

ssh成功進行了登錄，此時登錄用戶為graham。

繼續輸入 sudo -l 查看可執行的操作。發現能夠以jens用戶，不使用口令執行情況下執行backups.sh。打開文件backups.sh為一個文件減壓的命令行，可將減壓指令刪除，換成/bin/bash 以jens用戶去執行操作。

此時用戶為jens，進一步，繼續執行sudo -l 查詢可執行的操作，發現能夠以root用戶，在不使用口令的的情況下執行nmap。故可通過nmap指令調用自己設定好的腳本如執行/bin/bash，新建一個nmap可執行的腳本 root.nse，輸入如下內容：

通過nmap運行該root.nse腳本，進入root用戶。