Vulnhub-dc6

信息收集

# nmap -sn 192.168.1.0/24 -oN live.port      
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-25 14:39 CST
Nmap scan report for 192.168.1.1
Host is up (0.00075s latency).
MAC Address: 00:50:56:C0:00:08 (VMware)
Nmap scan report for 192.168.1.2
Host is up (0.00022s latency).
MAC Address: 00:50:56:FE:B1:6F (VMware)
Nmap scan report for 192.168.1.95
Host is up (0.00013s latency).
MAC Address: 00:0C:29:D7:4A:3C (VMware)
Nmap scan report for 192.168.1.254
Host is up (0.00094s latency).
MAC Address: 00:50:56:F1:2C:8A (VMware)
Nmap scan report for 192.168.1.60
Host is up.
Nmap done: 256 IP addresses (5 hosts up) scanned in 2.02 seconds

判断到存活主机的IP地址为192.168.1.95

# nmap -sT --min-rate 10000 -p- 192.168.1.95 -oN port.nmap        
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-25 14:40 CST
Nmap scan report for 192.168.1.95
Host is up (0.00061s latency).
Not shown: 65533 closed tcp ports (conn-refused)
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
MAC Address: 00:0C:29:D7:4A:3C (VMware)Nmap done: 1 IP address (1 host up) scanned in 3.42 seconds

端口开放情况,只是开放了两个端口,分别是22端口和80端口;

# nmap -sT -sC -sV -O -p80,22 192.168.1.95 -oN details.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-25 14:41 CST
Nmap scan report for 192.168.1.95
Host is up (0.00055s latency).PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0)
| ssh-hostkey: 
|   2048 3e:52:ce:ce:01:b6:94:eb:7b:03:7d:be:08:7f:5f:fd (RSA)
|   256 3c:83:65:71:dd:73:d7:23:f8:83:0d:e3:46:bc:b5:6f (ECDSA)
|_  256 41:89:9e:85:ae:30:5b:e0:8f:a4:68:71:06:b4:15:ee (ED25519)
80/tcp open  http    Apache httpd 2.4.25 ((Debian))
|_http-title: Did not follow redirect to http://wordy/
|_http-server-header: Apache/2.4.25 (Debian)
MAC Address: 00:0C:29:D7:4A:3C (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernelOS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 13.08 seconds

开放服务的详细信息探测。开放的80端口是Apache2.4.25 存在一个title! 再也没有其他的信息了!

# nmap -sT --script=vuln -p80,22 192.168.1.95 -oN vuln.nmap 
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-25 14:41 CST
Pre-scan script results:
| broadcast-avahi-dos: 
|   Discovered hosts:
|     224.0.0.251
|   After NULL UDP avahi packet DoS (CVE-2011-1002).
|_  Hosts are all up (not vulnerable).
Nmap scan report for 192.168.1.95
Host is up (0.00051s latency).PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
|_http-dombased-xss: Couldn't find any DOM based XSS.
|_http-csrf: Couldn't find any CSRF vulnerabilities.
| http-wordpress-users: 
| Username found: admin
| Username found: graham
| Username found: mark
| Username found: sarah
| Username found: jens
|_Search stopped at ID #25. Increase the upper limit if necessary with 'http-wordpress-users.limit'
| http-enum: 
|   /wp-login.php: Possible admin folder
|   /readme.html: Wordpress version: 2 
|   /wp-includes/images/rss.png: Wordpress version 2.2 found.
|   /wp-includes/js/jquery/suggest.js: Wordpress version 2.5 found.
|   /wp-includes/images/blank.gif: Wordpress version 2.6 found.
|   /wp-includes/js/comment-reply.js: Wordpress version 2.7 found.
|   /wp-login.php: Wordpress login page.
|   /wp-admin/upgrade.php: Wordpress login page.
|_  /readme.html: Interesting, a readme.
MAC Address: 00:0C:29:D7:4A:3C (VMware)Nmap done: 1 IP address (1 host up) scanned in 55.06 seconds

默认漏洞脚本的信息探测结果显示:存在wordpress! 其中存在的几个用户也给我们显示了出来,之后便是一些有关于wordpress的页面!从80端口寻找突破点肯定是没什么疑问的,这里也存在很大的概率是在wordpress上建立初始的立足点!

渗透测试

先看看80端口上的服务是什么样子的:

尝试修改host!

添加: 192.168.1.95 wordy

首页就是这样的啦!既然是存在wordpress!那就先上wpscan工具!

识别到的用户信息:

admin
jens
graham
mark
sarah

和我们的信息收集的脚本得到的用户信息是一样的!既然拿到了这么多的用户名信息,我在这里对于这些用户名有两个思路:

  1. 对wordpress的后台进行爆破;
  2. 对ssh进行爆破;

先来尝试ssh吧,毕竟能成功的话,直接就拿到了初始的立足点;这里用hydra去测试吧:

尝试了后台的登录密码爆破,没得到密码,同时ssh也失败了!

字典数量过大,没跑出来;继续找网站上面的漏洞!wordpress的版本是5.1.1

但是wpscan并没有发现有漏洞的插件和主题信息!

后面发现了靶场的下载地址下面存在提示:

因为爆破的时候,rockyou字典实在是太大了,很难去爆破!所以给出来了提示!那么我们就匹配出来k01作为一个字典,重新进行爆破!

重新进行爆破:

时间怎么还是这么长~ 30min过去了还是没有结果,还是先去看看插件上的漏洞:

wpscan --url http://wordy/ --plugins-detection aggressive #使用插件主动探测模式进行插件漏洞的探测:

最终还是得到了几个漏洞,XSS就先不关注了;

RCE这个比较好,不知道能不能利用!

还有一个是权限提升~ 很明显了,看看RCE能不能用了!

需要授权,可是没有密码呀,那可怎么办? 这里回想起来前面只是做了ssh的爆破,是不是密码并不是ssh的,而是网页上面的? 那就去爆破一下网站的账号和密码吧!

还真的是~ 找到了一个 hydra实在是太慢了 直接先试试能不能ssh上去~

mark helpdesk01

发现上不去~ 还是回到了网页上面!

没什么问题 确实是进来了!功能点比较少,毕竟不是admin,还是先试试我们刚才看到的漏洞!利用searchsploit搜索这个漏洞!

下载45274:

修改这两个文件!

保存之后,直接使用浏览器打开该文件!

然后起监听,在点击submit request!

成功的建立了初始的立足点,接下来就提权

提权

首先提升一下shell的交互性!然后看到了当前目录下面的配置文件,也就是wp的配置文件:wp-config.php

wpdbuser	meErKatZ

于是进入了mysql的数据库中,发现了wp_users表!查看里面的用户数据:

但是尝试解密,会发现只有mark能解密成功,其他的密码都没法解密出来!

查看了etc/passwd文件,发现确实存在这四个活跃的用户,看看他们的家目录下面是否存在相关文件:

在jens目录下面发现了一个文件,这个文件看起来不太一样,看看里面的内容是什么!

发现他解压了backups压缩包到网站的目录下面!

同时在mark目录下面发现了stuff文件!里面又一个文件貌似是提示!

恢复hyperdrive的全部功能(需要跟jens沟通)
为了sarah的告别晚会买礼物
添加一个新的用户grahm 后面应该是密码
申请OSCP课程
给sarah买一个笔记本电脑

利用上面的账号和密码信息,可以切换到graham的权限:

查看sudo权限,发现了:

当前的用户,可以无密码以jens的权限去执行backups脚本,依旧是我们刚才看见的文件!

刚好graham所属的组在devs中,具有修改的权限,因此我们可以将提权的脚本写在里面!

写了反弹在里面,起监听!准备执行

执行之后,收到反弹shell:

查看当前用户具有的sudo权限!

发现当前用户可以无密码以root权限去执行nmap!nmap提权分为两种:

低版本的nmap提权方式是: 利用nmap的--interactive 进入交互式命令行执行!/bin/bash即可
高版本的nmap提权方式为:利用--script执行脚本  nmap的脚本后缀为.nse那么我们可以将提权的命令写入到脚本中 执行echo "os.execute('/bin/bash')" > payload.nsesudo nmap --script=payload

读取最终的flag文件:

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/652748.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

JAVA多线程并发学习记录

基础知识 1.进程和线程 线程是最小的调度单位,进程是最小的资源分配单位 进程:当程序从磁盘加载到内存中这时就开启了一个进程,进程可视为程序的一个实例。大部分程序可以同时运行多个实例。 线程:线程是进程的一个子集&#…

机器学习第一个项目-----鸢尾花数据集加载及报错解决

项目步骤 如刚开始做,从 “项目开始” 看; 如遇到问题从 “问题” 开始看; 问题 报错如下 ModuleNotFoundError: No module named sklearn解决过程 查看官网,感觉可能是python版本和skilearn版本不匹配,更新一下p…

Spring MVC 请求流程

SpringMVC 请求流程 一、DispatcherServlet 是一个 Servlet二、Spring MVC 的完整请求流程 Spring MVC 框架是基于 Servlet 技术的。以请求为驱动,围绕 Servlet 设计的。Spring MVC 处理用户请求与访问一个 Servlet 是类似的,请求发送给 Servlet&#xf…

【vue3】Vue3 + Vite 项目搭建

Vue3 Vite 项目搭建 创建项目添加Vue Router 4路由配置添加Vant UI 组件库移动端rem适配添加iconfont字体图标库二次封装Axios请求库添加CSS预处理器Less添加全局状态管理插件Vuex 1.创建项目 Vite方式 1.1 进入开发目录, 执行指令创建新项目 更行node版本18 npm 7.x版本 su…

ThinkPhp3.2(qidian)部署文档

宝塔环境部署 申请域名以及域名解析 具体配置,可百度之 在宝塔面板中创建网站 上传代码导入数据配置运行目录 注意:(如果版本:thinkphp3.2 )配置 运行目录要特别注意:运行目录要选择根目录“/”&#xff…

什么是数据库的三级模式两级映象?

三级模式两级映象结构图 概念 三级模式 内模式:也称为存储模式,是数据物理结构和存储方式的描述,是数据在数据库内部的表示方式。定义所有的内部记录类型、索引和文件组织方式,以及数据控制方面的细节。模式:又称概念…

计算机今年炸了,究竟炸到什么程度呢❓

小兄弟,计算机哪年不爆炸啊! 尤其是19年,20年,21年,可以说是计算机最卷的几年,这几年也刚好是互联网企业风头正盛的几年 从这里大家可以看出来,任何一个行业都有他的周期,任何一个专…

中等题 ------ 数组以及字符串

以前刷的都是一些简单题,从一些基本的数据结构到算法,得有400多道了,简单题就先这样吧,从今天以后就开始着手中等题和困难题了。 做了一些中等题,感觉确实和简单题没法比,简单题有些直接模拟,暴…

vue3框架基本使用

一、安装包管理工具 vite和vue-cli一样,都是脚手架。 1.node版本 PS E:\vuecode\vite1> node -v v18.12.12.安装yarn工具 2.1 yarn简单介绍 yarn是一个包管理工具,也是一个构建、打包工具 yarn需要借助npm进行安装:执行的命令行npm i…

linux安装docker-compose

前言 如果你的docker版本是23,请移步到linux安装新版docker(23)和docker-compose这篇博客 查看docker版本命令: docker --version今天安装docker-compose的时候,找了很多教程,但是本地一直报错&#xff0…

c++学习第十三讲---STL常用容器---string容器

string容器: 一、string的本质: string和char*的区别: char*是一个指针 string是一个类,封装了char*,管理这个字符串,是char*的容器。 二、string构造函数: string() ; …

C#常见内存泄漏

背景 在开发中由于对语言特性不了解或经验不足或疏忽,往往会造成一些低级bug。而内存泄漏就是最常见的一个,这个问题在测试过程中,因为操作频次低,而不能完全被暴露出来;而在正式使用时,由于使用次数增加&…

STM32之IIC总线控制ATC24C04

一、存储器介绍 1、电子密码存储概述 单片机的电子密码存储是一种将密码信息以电子形式存储在单片机内部的技术。它通常用于需要保护敏感信息或限制访问权限的应用程序,如安全系统、门禁系统、电子锁等。 电子密码存储可以通过多种方式实现,以下是其中…

Linux内核进程管理

什么是进程 进程的概念 进程是处于执行期的程序和他所占用资源的总称。进程就是运行的代码,进程的声明从代码开始运行那一刻开始;单纯的程序并非是是一个进程,一个程序也可能不只包含一个进程。 进程和线程的区别,与联系 线程…

Redis常用数据类型--String

String 常用命令SETGETMGETMSETSETNXINCR/DECRINCRBY/DECRBYINCRBYFLOATAPPENDGETRANGESETRANGESTRLEN 内部编码典型应用场景 常用命令 SET 将 string 类型的 value 设置到 key 中。如果 key 之前存在,则覆盖,⽆论原来的数据类型是什么。之 前关于此 k…

mysql8安装基础操作(一)

一、下载mysql8.0 1.查看系统glibc版本 这里可以看到glibc版本为2.17,所以下载mysql8.0的版本时候尽量和glibc版本对应 [rootnode2 ~]# rpm -qa |grep -w glibc glibc-2.17-222.el7.x86_64 glibc-devel-2.17-222.el7.x86_64 glibc-common-2.17-222.el7.x86_64 gl…

.NET高级面试指南专题三【线程和进程】

在C#中,线程(Thread)和进程(Process)是多任务编程中的重要概念,它们用于实现并发执行和多任务处理。 进程(Process): 定义: 进程是正在运行的程序的实例&…

C#,数据检索算法之插值搜索(Interpolation Search)的源代码

数据检索算法是指从数据集合(数组、表、哈希表等)中检索指定的数据项。 数据检索算法是所有算法的基础算法之一。 本文提供插值搜索(Interpolation Search)的源代码。 1 文本格式 using System; namespace Legalsoft.Truffer.…

CSS color探索

CSS 颜色探索 在 CSS 的世界里,颜色为网页元素赋予了丰富的视觉效果。通过预定义的颜色名称、RGB、HEX、HSL,以及支持透明度的 RGBA 和 HSLA,我们可以创造出各种吸引人的设计。接下来,我们将通过示例代码来深入了解这些颜色应用。…

kafka-顺序消息实现

kafka-顺序消息实现 场景 在购物付款的时候,订单会有不同的订单状态,对应不同的状态事件,比如:待支付,支付成功,支付失败等等,我们会将这些消息推送给消息队列 ,后续的服务会根据订…