小H靶场笔记:DC-6

DC-6

January 6, 2024 12:06 PM
Tags: nmap提权,WordPress
Owner:只惠摸鱼

信息收集

  • apr-scan和nmap探测主机后,发现靶机ip:192.168.199.136,端口22和80开放

    在这里插入图片描述

  • 扫描端口服务、版本、操作系统、默认脚本扫描

    在这里插入图片描述

  • 扫描开放端口的常见漏洞

    在这里插入图片描述

  • 访问80端口,发现不能访问,重定向到wordy

    在这里插入图片描述

  • 修改本地HOSTS文件(kali中的也别忘了,/etc/hosts)

    在这里插入图片描述

  • 重新访问80端口,正常访问,是一个WordPress系统,翻看页面,没有太多有用的信息,在About Us页面有一个Jens是PHP开发者,可能后续有用(在扫描常见漏洞那块也看到了Jens的一个用户名)

    在这里插入图片描述

  • 使用浏览器插件Wappalyzer进行指纹识别,发现WordPress是5.1.1版本

    在这里插入图片描述

  • 扫一下目录,发现在install.php中点击Log In 有一个管理员登陆页面

    在这里插入图片描述

  • 进入登录页面

    在这里插入图片描述

  • 手动尝试了一些弱密码,没有成功

    在这里插入图片描述

  • 看一下忘记密码页面,发现host不允许,并且是发送邮件,不太行。

    在这里插入图片描述

    在这里插入图片描述

  • 回到登陆页面,尝试万能密码也不行。

    在这里插入图片描述

  • 使用专门针对WordPress 的工具:WPScan,先爆一下用户名

    • wpscan --url http://wordy -e u

    在这里插入图片描述

  • 把用户名保存在一个txt中,使用kali自带的密码字典,爆一下用户及其对应的密码。

    在这里插入图片描述

    • dc-6官网描述有给所要用的密码字典,从rockyou.txt(非常大)字典中提取相关的密码字典,那就直接用这个爆破吧

      在这里插入图片描述

      • wpscan --url http://wordy -U users.txt -P password.txt (password是根据作者提示提取后的密码字典)

        在这里插入图片描述

漏洞利用

  • 获得用户mark的账号密码,登录后台。

    在这里插入图片描述

  • 查看一下,没有可以上传马的地方。发现下面有一个插件,Activity Monitor,百度了一下他的漏洞,发现在tool模块可以进行远程执行命令(WordPress Activity Monitor插件远程命令执行漏洞)

    在这里插入图片描述

  • BP抓包,修改红框中的内容,尝试执行命令。

    在这里插入图片描述

  • 单纯执行命令不可行,试一下加|符号执行命令,发现可以执行。

    在这里插入图片描述

  • 尝试执行反弹shell,kali监听。

    在这里插入图片描述

    在这里插入图片描述

  • 成功拿到shell,转换成交互性shell。

    在这里插入图片描述

提权

  • www-data权限比较低,找一下其他用户吧,进入/home,查看各个用户文件

    在这里插入图片描述

  • 在mark用户文件夹下找到一个stuff文件夹,里面有一些可用信息,应该是graham的密码

    在这里插入图片描述

  • 试一下切换用户,成功进入graham用户。

    在这里插入图片描述

  • 查一下SUID文件和sudo无需密码的文件,发现只有一个backups.sh可用

    在这里插入图片描述

  • 查看一下文件,只是一个解压命令。

    在这里插入图片描述

  • 写入/bin/bash到此文件,使用jens用户进行sudo执行,切换到了jens用户

    在这里插入图片描述

    在这里插入图片描述

  • 查看一下jens用户的SUID文件和sudo 无需密码的文件,发现有nmap可用,可用进行nmap提权。

    在这里插入图片描述

  • 写入命令到.nse脚本文件。

    在这里插入图片描述

  • 使用sudo 运行nmap执行脚本文件

    在这里插入图片描述

  • 拿到root权限,转换为交互性shell读取flag。

    在这里插入图片描述

nmap提权

第一种,nmap版本较老,SUID文件中有nmap

  • 查询可以用suid
    • find / -perm -u=s -type f 2>/dev/null
  • nmap老版本支持“interactive.”选项,用户能够通过该选项执行shell命令
  • nmap --interactive
    • 得到交互式shell
    • 之后输入!sh 或者!bash,提权成功

第二种,sudo -l 无需密码的文件中有nmap

  • 创建脚本文件,输入提权脚本内容
    • echo “os.execute(‘/bin/sh’)”>demo.nse或echo “os.execute(‘/bin/sh’)”>>demo.nse
      • demo可以为任意文件名
  • 使用root权限 nmap 执行脚本,提权成功
    • sudo nmap --script=demo.nse
      • 脚本文件路径和所写的文件位置和名称对应。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/334452.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

CMake入门教程【核心篇】动态库与静态库的差别

😈「CSDN主页」:传送门 😈「Bilibil首页」:传送门 😈「动动你的小手」:点赞👍收藏⭐️评论📝 文章目录 1.概述2.动态库(Shared Libraries)主要特点使用场景3.静态库(Static Libraries)主要特点

权威报告|得帆信息入选甲子光年《2023信创软件品牌影响力研究报告》

近日,国内知名科技产业智库甲子光年发布了《2023信创软件品牌影响力研究报告》,报告全面、深度探究了信创软件的发展历程与现状,讨论主要驱动力的变化,以及国内软件厂商在国内市场的品牌影响力,并寻找当前信创落地遇到…

【无标题】PDF编辑软件哪个好用?4款PDF编辑器分享!

PDF编辑软件哪个好用?在我们的日常办公中,编辑PDF文件是非常方便的一项功能。通过编辑PDF,我们可以对文档进行修改和调整,添加或删除内容,以及进行格式和布局的更改。这样,我们可以更好地符合我们的需求和要…

YOLOv8改进 | Neck篇 | 利用ASF-YOLO改进特征融合层(适用于分割和目标检测)

一、本文介绍 本文给大家带来的改进机制是ASF-YOLO(发布于2023.12月份的最新机制),其是特别设计用于细胞实例分割。这个模型通过结合空间和尺度特征,提高了在处理细胞图像时的准确性和速度。在实验中,ASF-YOLO在2018年数据科学竞赛数据集上取得了卓越的分割准确性和速度,…

UE5 C++(十三)— 创建Character,添加增强输入

文章目录 创建Character第三人称模板添加增强输入引用在脚本中实现移动、旋转 创建Character第三人称模板 创建MyCharacter C类 添加增强输入引用 在DEMO.Build.cs 脚本中添加增强输入模块 有个容易出错的点,这里的设置一定要正确 然后添加引用到C头文件中 …

ssm基于WEB的文学网的设计与实现+vue论文

基于WEB的文学网的设计与实现 摘要 如今,科学技术的力量越来越强大,通过结合较为成熟的计算机技术,促进了学校、医疗、商城等许多行业领域的发展。为了顺应时代的变化,各行业结合互联网、人工智能等技术,纷纷开展了管…

时间序列数据库选型: influxdb; netdiscover列出docker实例们的ip

influxdb influxdb: 有收费版本、有开源版本 docker run -itd --name influxdb-dev -p 8086:8086 influxdb #influxdb的web客户端(端口8003)被去掉了 #8006是web-service端口docker pull chronograf docker run -d -p 8888:8888 --name chronograf-dev chronografsudo netst…

【VRTK】【Unity】【VR开发】Linear Drives

课程配套学习项目源码资源下载 https://download.csdn.net/download/weixin_41697242/88485426?spm=1001.2014.3001.5503 【概述】 前面一篇讨论了角度运动机制,本篇讨论线性运动机制。和角度运动机制类似,线性运动机制提供了更为仿真的互动机制。也分为基于物理的和不基于…

DDPM之反向传播

反向过程:由噪声状态恢复到数据状态的过程这一过程可以用条件概率来描述 是在时间步 t−1 想要恢复的数据状态。 是在时间步 t 的当前噪声状态。条件概率 p 服从高斯分布: 条件概率 是模型根据当前噪声状态 xt​ 和时间步 t 估计的均值是估计的方差和是由…

JVM,JRE,JDK的区别和联系简洁版

先看图 利用JDK(调用JAVA API)开发JAVA程序后,通过JDK中的编译程序(javac)将我们的文本java文件编译成JAVA字节码,在JRE上运行这些JAVA字节码,JVM解析这些字节码,映射到CPU指令集或…

工作中太在意领导的看法怎么办?

文章首发于公众号:字节流动,未经作者(微信ID:Byte-Flow)允许,禁止转载 来自我的知识星球【精通 OpenGL ES】一位读者的提问: 你好星主,工作中太在意领导的看法怎么办? 目…

异常检测的资料

(1) (2) (3)