DC-6靶机实战
1、主机发现
2、端口及端口详细信息扫描
开放22、80端口
3、老规矩,访问web服务(80端口)
输入IP之后会变成http://wordy且找不到此网站
和以前一样,添加到hosts文件中//物理机和kali都添加
重新访问://这里我用的是火狐的一款插件
熟悉的wordpress,版本是5.1.1
直接使用wpscan扫
发现自带的wpscan数据库升级不了,百度解决方法:
保存用户,用于后面爆破:
生成密码字典:
没解压先解压
爆破:
得到用户名:mark,密码:helpdesk01
登录后台:
成功登录,但因为是普通用户权限,无法直接写shell
bing搜索了一下,可以从activity monitor这个插件入手
搜索漏洞:
发现可利用的html,直接复制html进行修改
开启监听://这时必须在kali开启临时的web服务
python -m SimpleHTTPServer 8080
然后访问dc-6.html:
点击按钮之后
拿到shell
另一种姿势:
也可以输入ip,点击lookup,通过抓包修改ip参数
点击GO:
接下来获取完整shell://寻找有用信息
在mark目录下找到了一个stuff目录,里面有一个文本文件,记录了graham的密码
尝试连接ssh://22端口
连接成功
4、提权
使用sudo -l 查看目前用户可以执行的操作
发现可以以jens用户身份免密码执行/home/jens/backups.sh这个脚本
这个脚本在当前用户下有读写权限,修改脚本内容,在末尾增加/bin/bash,当执行时可以获得jens的shell
执行sudo -l 发现jens用户可以在无需输入密码的情况下使用nmap(root权限)
绕过方式://.nse后缀可以用nmap打开
提权成功