渗透测试靶机— DC系列 DC-6

---

开启靶机，登录页面，平平无奇

扫描ip，端口，服务等信息

访问80，发现这里是WordPress站点

• 直接wpscan扫描一下用户名
• wpscan --url http://wordy -e u
  
• 这里可以将扫出来的五个用户名保存，然后爆破密码
  
  使用工具wpscan来爆破密码
  

登录后台
这里发现后台页面中存在一个插件

这个插件的工具中存在一个可以执行命令的地方

这里测试是发现可以正确执行输入的内容，那么尝试；拼接，然后尝试反弹shell

注意，这里存在输入的限制，但是是前端的限制，可以通过F12来修改这个限制内容
修改完成后再次输入

确实可以执行，那么直接反弹即可

拿到了低权限的shell
这个时候就需要进行信息收集


这里发现在home目录下是存在四个用户的，依次看看里面的内容

在这里的mark用户下的文件中存在一个用户密码泄露
使用这个用户来登录看看，是否拥有高权限

可以看到，依然是低权限
这里就可以将权限给这个脚本

通过su的时候使用脚本，免密登录jens用户


此时通过sudo -l，这里会发现这里存在nmap可提权

这里没有想到好办法，借用大佬的思路：参考链接
echo ‘os.execute(“/bin/bash”)’ > a.nse
写入一个shell的脚本文件，来让nmap去执行

---

至此，打靶成功！！！，感谢大佬指点

参考