下载地址：

1、链接：链接：https://pan.baidu.com/s/1iyAJqv7T5dUovaLjPeTvgQ

提取码：96dq

2、http://www.five86.com/downloads/DC-6.zip

3、https://download.vulnhub.com/dc/DC-6.zip

 

靶机：DC6（VMware桥接）   IP：192.168.10.240

攻击机：Kali（VMware桥接）  IP：192.168..10.91

 

先用namp扫描一下靶机，查看端口信息和系统等信息。

开放ssh和web服务

首先访问一下80端口，但是网站会跳转到wordy这个域名主机名，需要在hosts文件中把wordy和IP地址的对应关系写入。

这个界面很熟悉，为wordpressCMS

后台为默认地址

利用wpscan扫描出几个用户名，然后可尝试进行暴力破解

使用在DC-2中提到的cewl生产密码字典，然后结合用户名的方法爆破失败。

在下载靶机处有一个提示，有一个获取密码字典的方法。

将rockyou.txt.gz解压缩

生产密码字典password.txt

利用wpscan爆破密码，得到mark用户的口令

通过mark用户登录后台管理，activity monitor这个插件存在漏洞，查询sploitdb找到一个可利用脚本

然后将脚本的内容进行修改，可反弹shell

先用nc监听8888端口，然后访问修改的html文件，点击Submit按钮可反弹shell。

或者直接在tools处进行截取，进行反弹shell

在mark家目录中stuff目录下有一个txt文件，内容有graham用户的密码

使用graham用户登录ssh服务

登录后查看当前用户可执行的操作，可以运行jens用户下的backups.sh

将backups.sh文件写入/bin/bash，然后以jens执行该脚本

执行后切换为jens用户，再查看jens可执行的操作，发现jens可在无密码情况下使用namp命令

在网上可查到利用namp提权，nmap有执行脚本的功能，flag在root目录下