DC靶机系列:DC-6

一、信息收集

  1. 查询本机ip及目标靶机ip

本机ip:192.168.56.104,靶机ip通过nmap或arp-scan -l查看

靶机ip:192。168.56.115

  1. 收集靶机开放端口

输入nmap -sS -sV -T5 -A 192.168.56.115 #进行靶机端口信息收集

这里有22端口和80端口,根据80端口的描述以及之前渗透的经验,这边需要进行dns绑定,打开/etc/hosts文件,将靶机ip和这个wordy进行绑定

然后再重新扫描后就会是下面的样子

  1. 对应端口进行尝试

这边没有用户名和密码就先不进行22端口的尝试了,直接上web。

打开如上,这个界面和dc2的很像,然后进行一下页面的搜集,发现并没有像以前一样有多个flag,那下面就针对这个网站进行web渗透。

二、Web渗透

第一步:查看该网站的框架,对网站的目录进行爆破收集有用的信息

或者利用kali的whatweb命令进行查看

接着对网站目录进行爆破,看是否能爆出后台,利用dirb或者dirsearch

发现wp-login.php,访问后出现登录界面

第二步,枚举出该网站的用户名,利用wpscan工具,输入

wpscan --url http://wordy/ -e

枚举出了admin、mark、graham、sarah、jens这5个用户,将这个5个用户写入一个user.txt文件中,密码我一开始想像dc2一样去cewl获取网页有关信息进行密码爆破,但是没有成功,后来在查看靶机描述的时候发现了有个小提示

这里是将kali自带的rockyou.txt密码本筛选出带k01的密码到一个新的密码文本文件,这样会给爆破节省很多时间,于是,利用新的密码本文件进行用户名密码爆破,命令为:

wpscan --url http://wordy/ -e -U user.txt -P passwords.txt

爆破出用户名和密码为:mark/helpdesk01

第三步:登录用户名和密码,在后台中找寻可以getshell的地方,一般这类的cms框架都会存在一些插件的漏洞,可以全方位的去收集下相关的信息

在tools的地方发现有activity monitor的插件,搜索查看后发现该插件存在远程代码执行的漏洞,经验证确实存在

这边的ip框是存在输入长度限制的,有两种方法可以去getshell,一种是利用burpsuite抓包,修改,利用nc 连接到攻击机上,第二种是在本地搜索到的exp,进行返回shell

这边选择第二种,第一种大家有兴趣可以自己去做

searchsploit activity monitor -w #本地搜索
searchsploit -p 45274 #找到所在的位置
然后将其复制到文件夹中,对45274.html稍作修改

将localhost:8000修改为靶机地址,后面的nc 返回自己的攻击机ip地址

然后直接在文件夹中双击打开这个html文件,并且在kali本地开启监听nc -vlp 7777

点击发送请求,就会反弹一个shell,输入python -c 'import pty;pty.spawn("/bin/bash")'返回个交互式的shell

第四步,根据之前获得的用户名,在文件中进行搜索,最后在/home文件中发现用户信息,然后对其进行一波信息收集

在mark里面发现了一个新的用户和密码,尝试利用mark进行ssh后发现不行,利用新的用户和密码进行ssh连接,发现ok

第五步:尝试进行提权,输入sudo -l进行查看

发现jens在运行backups.sh文件时可以不用密码,这样就可以利用

sudo -u jens ./home/jens/backups.sh进行一波水平越权

果然:

不需要输密码就切换过来了,再利用sudo -l查看后发现

这边存在使用nmap提权,查看nmap 版本发现是7以上的版本,可以使用script

故输入:echo "os.execute('/bin/sh')" > rootshell

然后利用nmap的script进行引用rootshell,从而完成提权

最后输入python -c 'import pty;pty.spawn("/bin/bash")',得到个交互式的shell

获取flag,DC系列第6个靶机,渗透就到此结束

这个靶机介绍了cms框架中插件会存在一些漏洞可以利用,也为以后真实环境中的渗透拓宽了思路,并且还是存在水平越权的漏洞,这个以后还是可以多多注意一下!

每天学习一丢丢,进步一丢丢!后续靶机会持续更新!

  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值