小H靶场笔记:DC-6

DC-6

January 6, 2024 12:06 PM
Tags: nmap提权,WordPress
Owner:只惠摸鱼

信息收集

  • apr-scan和nmap探测主机后,发现靶机ip:192.168.199.136,端口22和80开放

    小H靶场笔记:DC-6_第1张图片

  • 扫描端口服务、版本、操作系统、默认脚本扫描

    小H靶场笔记:DC-6_第2张图片

  • 扫描开放端口的常见漏洞

  • 访问80端口,发现不能访问,重定向到wordy

    小H靶场笔记:DC-6_第3张图片

  • 修改本地HOSTS文件(kali中的也别忘了,/etc/hosts)

    小H靶场笔记:DC-6_第4张图片

  • 重新访问80端口,正常访问,是一个WordPress系统,翻看页面,没有太多有用的信息,在About Us页面有一个Jens是PHP开发者,可能后续有用(在扫描常见漏洞那块也看到了Jens的一个用户名)

    小H靶场笔记:DC-6_第5张图片

  • 使用浏览器插件Wappalyzer进行指纹识别,发现WordPress是5.1.1版本

    小H靶场笔记:DC-6_第6张图片

  • 扫一下目录,发现在install.php中点击Log In 有一个管理员登陆页面

    小H靶场笔记:DC-6_第7张图片

  • 进入登录页面

    小H靶场笔记:DC-6_第8张图片

  • 手动尝试了一些弱密码,没有成功

    小H靶场笔记:DC-6_第9张图片

  • 看一下忘记密码页面,发现host不允许,并且是发送邮件,不太行。

    小H靶场笔记:DC-6_第10张图片

    小H靶场笔记:DC-6_第11张图片

  • 回到登陆页面,尝试万能密码也不行。

    小H靶场笔记:DC-6_第12张图片

  • 使用专门针对WordPress 的工具:WPScan,先爆一下用户名

    • wpscan --url http://wordy -e u

  • 把用户名保存在一个txt中,使用kali自带的密码字典,爆一下用户及其对应的密码。

    小H靶场笔记:DC-6_第13张图片

    • dc-6官网描述有给所要用的密码字典,从rockyou.txt(非常大)字典中提取相关的密码字典,那就直接用这个爆破吧

      在这里插入图片描述

      • wpscan --url http://wordy -U users.txt -P password.txt (password是根据作者提示提取后的密码字典)

        小H靶场笔记:DC-6_第14张图片

漏洞利用

  • 获得用户mark的账号密码,登录后台。

    小H靶场笔记:DC-6_第15张图片

  • 查看一下,没有可以上传马的地方。发现下面有一个插件,Activity Monitor,百度了一下他的漏洞,发现在tool模块可以进行远程执行命令(WordPress Activity Monitor插件远程命令执行漏洞)

    小H靶场笔记:DC-6_第16张图片

  • BP抓包,修改红框中的内容,尝试执行命令。

    小H靶场笔记:DC-6_第17张图片

  • 单纯执行命令不可行,试一下加|符号执行命令,发现可以执行。

    小H靶场笔记:DC-6_第18张图片

  • 尝试执行反弹shell,kali监听。

    小H靶场笔记:DC-6_第19张图片

  • 成功拿到shell,转换成交互性shell。

    小H靶场笔记:DC-6_第20张图片

提权

  • www-data权限比较低,找一下其他用户吧,进入/home,查看各个用户文件

    小H靶场笔记:DC-6_第21张图片

  • 在mark用户文件夹下找到一个stuff文件夹,里面有一些可用信息,应该是graham的密码

    小H靶场笔记:DC-6_第22张图片

  • 试一下切换用户,成功进入graham用户。

    小H靶场笔记:DC-6_第23张图片

  • 查一下SUID文件和sudo无需密码的文件,发现只有一个backups.sh可用

    小H靶场笔记:DC-6_第24张图片

  • 查看一下文件,只是一个解压命令。

    在这里插入图片描述

  • 写入/bin/bash到此文件,使用jens用户进行sudo执行,切换到了jens用户

    在这里插入图片描述

    在这里插入图片描述

  • 查看一下jens用户的SUID文件和sudo 无需密码的文件,发现有nmap可用,可用进行nmap提权。

    小H靶场笔记:DC-6_第25张图片

  • 写入命令到.nse脚本文件。

    小H靶场笔记:DC-6_第26张图片

  • 使用sudo 运行nmap执行脚本文件

    在这里插入图片描述

  • 拿到root权限,转换为交互性shell读取flag。

    小H靶场笔记:DC-6_第27张图片

nmap提权

第一种,nmap版本较老,SUID文件中有nmap

  • 查询可以用suid
    • find / -perm -u=s -type f 2>/dev/null
  • nmap老版本支持“interactive.”选项,用户能够通过该选项执行shell命令
  • nmap --interactive
    • 得到交互式shell
    • 之后输入!sh 或者!bash,提权成功

第二种,sudo -l 无需密码的文件中有nmap

  • 创建脚本文件,输入提权脚本内容
    • echo “os.execute(‘/bin/sh’)”>demo.nse或echo “os.execute(‘/bin/sh’)”>>demo.nse
      • demo可以为任意文件名
  • 使用root权限 nmap 执行脚本,提权成功
    • sudo nmap --script=demo.nse
      • 脚本文件路径和所写的文件位置和名称对应。

你可能感兴趣的:(靶场笔记,笔记,网络安全,安全)