一、信息收集
查询本机ip及目标靶机ip
本机ip:192.168.56.104,靶机ip通过nmap或arp-scan -l查看
![](https://i-blog.csdnimg.cn/blog_migrate/c0d2282625a5ba726689bdeab58c6c8f.png)
靶机ip:192。168.56.115
收集靶机开放端口
输入nmap -sS -sV -T5 -A 192.168.56.115 #进行靶机端口信息收集
![](https://i-blog.csdnimg.cn/blog_migrate/93c6d2c52059220bca5b185f8cd6760c.png)
这里有22端口和80端口,根据80端口的描述以及之前渗透的经验,这边需要进行dns绑定,打开/etc/hosts文件,将靶机ip和这个wordy进行绑定
![](https://i-blog.csdnimg.cn/blog_migrate/38aa4688d63c9dbc245683bbb9d9f7c1.png)
然后再重新扫描后就会是下面的样子
![](https://i-blog.csdnimg.cn/blog_migrate/b3508991bb38cd86140d793d72a347a9.png)
对应端口进行尝试
这边没有用户名和密码就先不进行22端口的尝试了,直接上web。
![](https://i-blog.csdnimg.cn/blog_migrate/99750e02ac51deb0a5aa816de5fdc877.png)
打开如上,这个界面和dc2的很像,然后进行一下页面的搜集,发现并没有像以前一样有多个flag,那下面就针对这个网站进行web渗透。
二、Web渗透
第一步:查看该网站的框架,对网站的目录进行爆破收集有用的信息
![](https://i-blog.csdnimg.cn/blog_migrate/73bf9fa5b934b4d63150275b1c555010.png)
或者利用kali的whatweb命令进行查看
![](https://i-blog.csdnimg.cn/blog_migrate/79c7cd7b610e315fe225394139fd5fdf.png)
接着对网站目录进行爆破,看是否能爆出后台,利用dirb或者dirsearch
![](https://i-blog.csdnimg.cn/blog_migrate/6f497e494f37c12f3e38a937b16ed884.png)
发现wp-login.php,访问后出现登录界面
![](https://i-blog.csdnimg.cn/blog_migrate/65faa9f826d8438e181da4bc249b2bd8.png)
第二步,枚举出该网站的用户名,利用wpscan工具,输入
wpscan --url http://wordy/ -e
![](https://i-blog.csdnimg.cn/blog_migrate/834b12a00eb1b73547e9ac7ee1d60898.png)
枚举出了admin、mark、graham、sarah、jens这5个用户,将这个5个用户写入一个user.txt文件中,密码我一开始想像dc2一样去cewl获取网页有关信息进行密码爆破,但是没有成功,后来在查看靶机描述的时候发现了有个小提示
![](https://i-blog.csdnimg.cn/blog_migrate/e909272c9d61c870cc04f0e625436e3b.png)
这里是将kali自带的rockyou.txt密码本筛选出带k01的密码到一个新的密码文本文件,这样会给爆破节省很多时间,于是,利用新的密码本文件进行用户名密码爆破,命令为:
wpscan --url http://wordy/ -e -U user.txt -P passwords.txt
![](https://i-blog.csdnimg.cn/blog_migrate/17957efce3bcb590aa6fec3403eb41f3.png)
爆破出用户名和密码为:mark/helpdesk01
第三步:登录用户名和密码,在后台中找寻可以getshell的地方,一般这类的cms框架都会存在一些插件的漏洞,可以全方位的去收集下相关的信息
![](https://i-blog.csdnimg.cn/blog_migrate/93a2c3070012b3fb460adc7559622f1a.png)
在tools的地方发现有activity monitor的插件,搜索查看后发现该插件存在远程代码执行的漏洞,经验证确实存在
![](https://i-blog.csdnimg.cn/blog_migrate/2740928bafd08ff6479154a8bc19d648.png)
![](https://i-blog.csdnimg.cn/blog_migrate/86e30615913459b409092710d4f0fcca.png)
这边的ip框是存在输入长度限制的,有两种方法可以去getshell,一种是利用burpsuite抓包,修改,利用nc 连接到攻击机上,第二种是在本地搜索到的exp,进行返回shell
这边选择第二种,第一种大家有兴趣可以自己去做
searchsploit activity monitor -w #本地搜索
searchsploit -p 45274 #找到所在的位置
然后将其复制到文件夹中,对45274.html稍作修改
![](https://i-blog.csdnimg.cn/blog_migrate/bc9688115c8caa70a4ab9a7efd26634c.png)
![](https://i-blog.csdnimg.cn/blog_migrate/b5ce384ba00dbb13834e70a4967e059e.png)
将localhost:8000修改为靶机地址,后面的nc 返回自己的攻击机ip地址
![](https://i-blog.csdnimg.cn/blog_migrate/f060cba5bfd63e9773549bf80a3ac1bd.png)
然后直接在文件夹中双击打开这个html文件,并且在kali本地开启监听nc -vlp 7777
![](https://i-blog.csdnimg.cn/blog_migrate/ee80dbe0a333da614b4a6af453569d80.png)
点击发送请求,就会反弹一个shell,输入python -c 'import pty;pty.spawn("/bin/bash")'返回个交互式的shell
![](https://i-blog.csdnimg.cn/blog_migrate/cf3b68eb363f46b1c5423698db7a9ed0.png)
第四步,根据之前获得的用户名,在文件中进行搜索,最后在/home文件中发现用户信息,然后对其进行一波信息收集
![](https://i-blog.csdnimg.cn/blog_migrate/2f8e8c267ef0ef65668fc4e16ebf7178.png)
在mark里面发现了一个新的用户和密码,尝试利用mark进行ssh后发现不行,利用新的用户和密码进行ssh连接,发现ok
![](https://i-blog.csdnimg.cn/blog_migrate/02f50f461bd0bdc44527e4d5175d8367.png)
第五步:尝试进行提权,输入sudo -l进行查看
![](https://i-blog.csdnimg.cn/blog_migrate/999b6fbdee09e8b9c69f06326c16eae9.png)
发现jens在运行backups.sh文件时可以不用密码,这样就可以利用
sudo -u jens ./home/jens/backups.sh进行一波水平越权
果然:
![](https://i-blog.csdnimg.cn/blog_migrate/7cb2ae4fa5da651731377451e7ea390b.png)
不需要输密码就切换过来了,再利用sudo -l查看后发现
![](https://i-blog.csdnimg.cn/blog_migrate/ce1aeab6d6f296c07acf976d72fc8bbb.png)
这边存在使用nmap提权,查看nmap 版本发现是7以上的版本,可以使用script
故输入:echo "os.execute('/bin/sh')" > rootshell
然后利用nmap的script进行引用rootshell,从而完成提权
![](https://i-blog.csdnimg.cn/blog_migrate/a037a1d2a1d86b9f15404fb08613b9c4.png)
最后输入python -c 'import pty;pty.spawn("/bin/bash")',得到个交互式的shell
![](https://i-blog.csdnimg.cn/blog_migrate/0f0e39a9fac7e4b3b8b5a13f6365211b.png)
获取flag,DC系列第6个靶机,渗透就到此结束
这个靶机介绍了cms框架中插件会存在一些漏洞可以利用,也为以后真实环境中的渗透拓宽了思路,并且还是存在水平越权的漏洞,这个以后还是可以多多注意一下!
每天学习一丢丢,进步一丢丢!后续靶机会持续更新!