一、信息收集
查询本机ip及目标靶机ip
本机ip:192.168.56.104,靶机ip通过nmap或arp-scan -l查看
靶机ip:192。168.56.115
收集靶机开放端口
输入nmap -sS -sV -T5 -A 192.168.56.115 #进行靶机端口信息收集
这里有22端口和80端口,根据80端口的描述以及之前渗透的经验,这边需要进行dns绑定,打开/etc/hosts文件,将靶机ip和这个wordy进行绑定
然后再重新扫描后就会是下面的样子
对应端口进行尝试
这边没有用户名和密码就先不进行22端口的尝试了,直接上web。
打开如上,这个界面和dc2的很像,然后进行一下页面的搜集,发现并没有像以前一样有多个flag,那下面就针对这个网站进行web渗透。
二、Web渗透
第一步:查看该网站的框架,对网站的目录进行爆破收集有用的信息
或者利用kali的whatweb命令进行查看
接着对网站目录进行爆破,看是否能爆出后台,利用dirb或者dirsearch
发现wp-login.php,访问后出现登录界面
第二步,枚举出该网站的用户名,利用wpscan工具,输入
wpscan --url http://wordy/ -e
枚举出了admin、mark、graham、sarah、jens这5个用户,将这个5个用户写入一个user.txt文件中,密码我一开始想像dc2一样去cewl获取网页有关信息进行密码爆破,但是没有成功,后来在查看靶机描述的时候发现了有个小提示
这里是将kali自带的rockyou.txt密码本筛选出带k01的密码到一个新的密码文本文件,这样会给爆破节省很多时间,于是,利用新的密码本文件进行用户名密码爆破,命令为:
wpscan --url http://wordy/ -e -U user.txt -P passwords.txt
爆破出用户名和密码为:mark/helpdesk01
第三步:登录用户名和密码,在后台中找寻可以getshell的地方,一般这类的cms框架都会存在一些插件的漏洞,可以全方位的去收集下相关的信息
在tools的地方发现有activity monitor的插件,搜索查看后发现该插件存在远程代码执行的漏洞,经验证确实存在
这边的ip框是存在输入长度限制的,有两种方法可以去getshell,一种是利用burpsuite抓包,修改,利用nc 连接到攻击机上,第二种是在本地搜索到的exp,进行返回shell
这边选择第二种,第一种大家有兴趣可以自己去做
searchsploit activity monitor -w #本地搜索
searchsploit -p 45274 #找到所在的位置
然后将其复制到文件夹中,对45274.html稍作修改
将localhost:8000修改为靶机地址,后面的nc 返回自己的攻击机ip地址
然后直接在文件夹中双击打开这个html文件,并且在kali本地开启监听nc -vlp 7777
点击发送请求,就会反弹一个shell,输入python -c 'import pty;pty.spawn("/bin/bash")'返回个交互式的shell
第四步,根据之前获得的用户名,在文件中进行搜索,最后在/home文件中发现用户信息,然后对其进行一波信息收集
在mark里面发现了一个新的用户和密码,尝试利用mark进行ssh后发现不行,利用新的用户和密码进行ssh连接,发现ok
第五步:尝试进行提权,输入sudo -l进行查看
发现jens在运行backups.sh文件时可以不用密码,这样就可以利用
sudo -u jens ./home/jens/backups.sh进行一波水平越权
果然:
不需要输密码就切换过来了,再利用sudo -l查看后发现
这边存在使用nmap提权,查看nmap 版本发现是7以上的版本,可以使用script
故输入:echo "os.execute('/bin/sh')" > rootshell
然后利用nmap的script进行引用rootshell,从而完成提权
最后输入python -c 'import pty;pty.spawn("/bin/bash")',得到个交互式的shell
获取flag,DC系列第6个靶机,渗透就到此结束
这个靶机介绍了cms框架中插件会存在一些漏洞可以利用,也为以后真实环境中的渗透拓宽了思路,并且还是存在水平越权的漏洞,这个以后还是可以多多注意一下!
每天学习一丢丢,进步一丢丢!后续靶机会持续更新!