DC-5 渗透记录

信息收集

靶机dc-6IP地址为192.168.250.27
IMG_256
收集到开放的端口以及对应的服务
还是先对80端口进行访问
IMG_256
在etc/hosts下配置一下路由
IMG_256
使用插件收集到对应的web服务
IMG_256
注意到CMS WordPress 以及对网站进行目录收集 使用dirb
IMG_256
注意到管理员端口 进入页面 尝试弱口令 发现有admin账户 使用bp抓包尝试爆破
IMG_256
(爆破范围长时间不行,作者意图应该不是检验我电脑的性能,google一下拿到提示)
使用wpscan枚举出用户,并在官方文档中找到提示

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt
生成一个较小的密码文档
IMG_256
开始爆破
IMG_256
爆破出mark的账号密码,当然使用hydra也一样可以
IMG_256
IMG_256

漏洞利用

登陆后寻找可以利用的地方 ,找到一个输入框:

第一:该网站使用了activity monitor工具
第二,在activity monitor目录的tools一栏存在可注入的点
IMG_256

这里ip地址和数字会传入后台解析,抓包尝试这里能执行命令
IMG_256
尝试反弹shell
IMG_256
成功反弹到shell ,获取交互shell
IMG_256
Find 寻找suid命令 没有适合的suid命令能够提权
操作系统版本信息:
IMG_256
在home下寻找信息 ,发现了graham的账号密码
IMG_256
然后登陆graham的账号密码,发现登陆失败,想到该靶机还开启了22端口因此尝试ssh登录。登录成功
IMG_256
在本账号上进行提权信息收集
IMG_256
发现jens下的backup.sh有suid权限
里面是一个压缩命令行,说明该文件可以运行,因此想到可以在该文件中添加/bin/bash语句,则可以打开jens的shell了
IMG_256
成功反弹出jens的shell
IMG_256
Jens用户的nmap命令可以提取root权限
https://gtfobins.github.io/gtfobins/nmap/ 网站寻找相关提权命令

1
2
3
TF=$(mktemp)
echo 'os.execute("/bin/sh")' > $TF
sudo nmap --script=$TF

IMG_256

总结

1.对wpscan、bp、hydra的复习利用
2.对文件上传漏洞的利用
3.水平提权的利用,通过不同账户的不同权限成功完成垂直越权
4.Nmap的suid越权
5.还有其他的方法进行 客户端反弹shell的使用~ 如一句话木马的上传等