vulnhub之dc6

DC系列第六篇,整体而言难度较低,此篇之后,不再进行较为细致的篇幅
总体逻辑:存在http——由wordpress搭建(爆破用户,密码)——登录后台,百度组件漏洞——获取shell——获得用户信息——查看文件权限,切换用户——提权话不多说,开始干
主机发现,端口扫描
vulnhub之dc6_第1张图片vulnhub之dc6_第2张图片目标IP为192.168.43.140 开放两个端口22 和80 端口,其中80端口对应的服务为wordy,修改hosts文件,路径为/etc/hosts,添加值
vulnhub之dc6_第3张图片

192.168.43.140 wordy

22端口尝试进行爆破,采用用户名top50,字典使用弱口令top100进行尝试
在这里插入图片描述未发现相应结果
进行指纹识别
在这里插入图片描述发现为wordpress框架,使用wordpress专用扫描器进行检测,使用-e参数爆破用户
vulnhub之dc6_第4张图片存在5个用户vulnhub之dc6_第5张图片复制变异成字典,按照官方给的提示,kali中自带的rockyou字典中筛选出带有k01字符

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

一开始应该是个压缩吧使用gunzip进行解压即可
使用wpscan进行爆破
在这里插入图片描述爆破成功,账号密码为mark/helpdesk01,使用xray爬取网站目录,获取网站后台登录界面,输入账号密码进行登录,
vulnhub之dc6_第6张图片发现wordpress存在组件activity monitor
vulnhub之dc6_第7张图片使用谷歌大法,

在这里插入图片描述第三个属于ddos,第四个不晓得是个啥
使用前两个均可获得shell,毕竟是个后台洞,需要提供账号密码

vulnhub之dc6_第8张图片vulnhub之dc6_第9张图片关于第二个,需要修改反弹shell的地址,以及目标的地址,使用Python开启http服务即可成功获得shell,
也可以通过burpsuite抓包修改下图界面中的值,这里不再赘述vulnhub之dc6_第10张图片vulnhub之dc6_第11张图片查找python版本,进行交互式shell,在mark目录下存在things-to-do.txt文件,保存有graham用户密码,使用ssh进行登录,

vulnhub之dc6_第12张图片
vulnhub之dc6_第13张图片sudo -l查找可以使用root权限运行的组件
发现/home/jens/backups.sh该文件可以以root运行,但是使用sudo 要求输入密码,在该文件下加入 /bin/bash 再议jens身份运行,即可获得jens身份权限,在jens用户权限下,发现存在nmap组件,尝试进行低版本利用,未成功
vulnhub之dc6_第14张图片
说明该目标内的nmap为高版本,使用高版本exp进行利用
vulnhub之dc6_第15张图片命令为
echo "os.execute('/bin/bash')" > getshell
sudo nmap --script=getshell
注意此时,不会显示输入,但是会有回显,需要重新输入
python -c ‘import pty;pty.spawn(“/bin/bash”)’
才能够得到较好的体验

你可能感兴趣的:(靶练习,安全,web安全)