Vulnhub-dc6

信息收集

# nmap -sn 192.168.1.0/24 -oN live.port      
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-25 14:39 CST
Nmap scan report for 192.168.1.1
Host is up (0.00075s latency).
MAC Address: 00:50:56:C0:00:08 (VMware)
Nmap scan report for 192.168.1.2
Host is up (0.00022s latency).
MAC Address: 00:50:56:FE:B1:6F (VMware)
Nmap scan report for 192.168.1.95
Host is up (0.00013s latency).
MAC Address: 00:0C:29:D7:4A:3C (VMware)
Nmap scan report for 192.168.1.254
Host is up (0.00094s latency).
MAC Address: 00:50:56:F1:2C:8A (VMware)
Nmap scan report for 192.168.1.60
Host is up.
Nmap done: 256 IP addresses (5 hosts up) scanned in 2.02 seconds

判断到存活主机的IP地址为192.168.1.95

# nmap -sT --min-rate 10000 -p- 192.168.1.95 -oN port.nmap        
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-25 14:40 CST
Nmap scan report for 192.168.1.95
Host is up (0.00061s latency).
Not shown: 65533 closed tcp ports (conn-refused)
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
MAC Address: 00:0C:29:D7:4A:3C (VMware)Nmap done: 1 IP address (1 host up) scanned in 3.42 seconds

端口开放情况,只是开放了两个端口,分别是22端口和80端口;

# nmap -sT -sC -sV -O -p80,22 192.168.1.95 -oN details.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-25 14:41 CST
Nmap scan report for 192.168.1.95
Host is up (0.00055s latency).PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0)
| ssh-hostkey: 
|   2048 3e:52:ce:ce:01:b6:94:eb:7b:03:7d:be:08:7f:5f:fd (RSA)
|   256 3c:83:65:71:dd:73:d7:23:f8:83:0d:e3:46:bc:b5:6f (ECDSA)
|_  256 41:89:9e:85:ae:30:5b:e0:8f:a4:68:71:06:b4:15:ee (ED25519)
80/tcp open  http    Apache httpd 2.4.25 ((Debian))
|_http-title: Did not follow redirect to http://wordy/
|_http-server-header: Apache/2.4.25 (Debian)
MAC Address: 00:0C:29:D7:4A:3C (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernelOS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 13.08 seconds

开放服务的详细信息探测。开放的80端口是Apache2.4.25 存在一个title! 再也没有其他的信息了!

# nmap -sT --script=vuln -p80,22 192.168.1.95 -oN vuln.nmap 
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-25 14:41 CST
Pre-scan script results:
| broadcast-avahi-dos: 
|   Discovered hosts:
|     224.0.0.251
|   After NULL UDP avahi packet DoS (CVE-2011-1002).
|_  Hosts are all up (not vulnerable).
Nmap scan report for 192.168.1.95
Host is up (0.00051s latency).PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
|_http-dombased-xss: Couldn't find any DOM based XSS.
|_http-csrf: Couldn't find any CSRF vulnerabilities.
| http-wordpress-users: 
| Username found: admin
| Username found: graham
| Username found: mark
| Username found: sarah
| Username found: jens
|_Search stopped at ID #25. Increase the upper limit if necessary with 'http-wordpress-users.limit'
| http-enum: 
|   /wp-login.php: Possible admin folder
|   /readme.html: Wordpress version: 2 
|   /wp-includes/images/rss.png: Wordpress version 2.2 found.
|   /wp-includes/js/jquery/suggest.js: Wordpress version 2.5 found.
|   /wp-includes/images/blank.gif: Wordpress version 2.6 found.
|   /wp-includes/js/comment-reply.js: Wordpress version 2.7 found.
|   /wp-login.php: Wordpress login page.
|   /wp-admin/upgrade.php: Wordpress login page.
|_  /readme.html: Interesting, a readme.
MAC Address: 00:0C:29:D7:4A:3C (VMware)Nmap done: 1 IP address (1 host up) scanned in 55.06 seconds

默认漏洞脚本的信息探测结果显示:存在wordpress! 其中存在的几个用户也给我们显示了出来,之后便是一些有关于wordpress的页面!从80端口寻找突破点肯定是没什么疑问的,这里也存在很大的概率是在wordpress上建立初始的立足点!

渗透测试

先看看80端口上的服务是什么样子的:

尝试修改host!

添加: 192.168.1.95 wordy

首页就是这样的啦!既然是存在wordpress!那就先上wpscan工具!

识别到的用户信息:

admin
jens
graham
mark
sarah

和我们的信息收集的脚本得到的用户信息是一样的!既然拿到了这么多的用户名信息,我在这里对于这些用户名有两个思路:

  1. 对wordpress的后台进行爆破;
  2. 对ssh进行爆破;

先来尝试ssh吧,毕竟能成功的话,直接就拿到了初始的立足点;这里用hydra去测试吧:

尝试了后台的登录密码爆破,没得到密码,同时ssh也失败了!

字典数量过大,没跑出来;继续找网站上面的漏洞!wordpress的版本是5.1.1

但是wpscan并没有发现有漏洞的插件和主题信息!

后面发现了靶场的下载地址下面存在提示:

因为爆破的时候,rockyou字典实在是太大了,很难去爆破!所以给出来了提示!那么我们就匹配出来k01作为一个字典,重新进行爆破!

重新进行爆破:

时间怎么还是这么长~ 30min过去了还是没有结果,还是先去看看插件上的漏洞:

wpscan --url http://wordy/ --plugins-detection aggressive #使用插件主动探测模式进行插件漏洞的探测:

最终还是得到了几个漏洞,XSS就先不关注了;

RCE这个比较好,不知道能不能利用!

还有一个是权限提升~ 很明显了,看看RCE能不能用了!

需要授权,可是没有密码呀,那可怎么办? 这里回想起来前面只是做了ssh的爆破,是不是密码并不是ssh的,而是网页上面的? 那就去爆破一下网站的账号和密码吧!

还真的是~ 找到了一个 hydra实在是太慢了 直接先试试能不能ssh上去~

mark helpdesk01

发现上不去~ 还是回到了网页上面!

没什么问题 确实是进来了!功能点比较少,毕竟不是admin,还是先试试我们刚才看到的漏洞!利用searchsploit搜索这个漏洞!

下载45274:

修改这两个文件!

保存之后,直接使用浏览器打开该文件!

然后起监听,在点击submit request!

成功的建立了初始的立足点,接下来就提权

提权

首先提升一下shell的交互性!然后看到了当前目录下面的配置文件,也就是wp的配置文件:wp-config.php

wpdbuser	meErKatZ

于是进入了mysql的数据库中,发现了wp_users表!查看里面的用户数据:

但是尝试解密,会发现只有mark能解密成功,其他的密码都没法解密出来!

查看了etc/passwd文件,发现确实存在这四个活跃的用户,看看他们的家目录下面是否存在相关文件:

在jens目录下面发现了一个文件,这个文件看起来不太一样,看看里面的内容是什么!

发现他解压了backups压缩包到网站的目录下面!

同时在mark目录下面发现了stuff文件!里面又一个文件貌似是提示!

恢复hyperdrive的全部功能(需要跟jens沟通)
为了sarah的告别晚会买礼物
添加一个新的用户grahm 后面应该是密码
申请OSCP课程
给sarah买一个笔记本电脑

利用上面的账号和密码信息,可以切换到graham的权限:

查看sudo权限,发现了:

当前的用户,可以无密码以jens的权限去执行backups脚本,依旧是我们刚才看见的文件!

刚好graham所属的组在devs中,具有修改的权限,因此我们可以将提权的脚本写在里面!

写了反弹在里面,起监听!准备执行

执行之后,收到反弹shell:

查看当前用户具有的sudo权限!

发现当前用户可以无密码以root权限去执行nmap!nmap提权分为两种:

低版本的nmap提权方式是: 利用nmap的--interactive 进入交互式命令行执行!/bin/bash即可
高版本的nmap提权方式为:利用--script执行脚本  nmap的脚本后缀为.nse那么我们可以将提权的命令写入到脚本中 执行echo "os.execute('/bin/bash')" > payload.nsesudo nmap --script=payload

读取最终的flag文件:

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/246922.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Java 字符串 10 字符串相关类的底层原理

底层原理1,底层原理2 底层原理3: 分两种情况: 1、等号右边没有变量: 2、等号右边有变量: 两个对象,一个是StringBuilder,一个是String,浪费空间,性能不高 在jdk8之前&am…

WinRAR压缩包高级技巧:永久设置压缩包单个或批量单独压缩成包并且不内嵌文件夹,解压保留原始时间设置

目录点击跳转:WinRAR压缩包高级技巧:永久设置压缩包单个或批量单独压缩成包并且不内嵌文件夹,解压保留原始时间设置 解压永久设置1 解压保存原始时间 压缩永久设置1 默认压缩成zip手机电脑都通用的格式2 默认压缩文件不多额外嵌套一层文件夹&…

Java复习系列之阶段二:数据库

1. 基础语法 1.1 DQL(数据查询语句) 执行顺序: from、join 、on、where、group by、having、select、distinct、order by、limit 1.2 DML(数据修改语言) 对数据表的增删改 insert into update set delete form 1.…

RTP工具改进(五)--使用qt

前篇 第四篇 RTP工具改进(四) - rtmp协议推送 前面使用的工具一直为mfc,今天将使用qt 来做界面,使用qt 来进行程序和协议的编写,qt部分目前还不包括rtp ps流和rtmp,暂时只有rtp 直接传输,关于rtmp协议和ps流协议&…

Qt/QML编程之路:ListView实现横排图片列表的示例(40)

ListView列表,在QML中使用非常多,排列一个行,一个列或者一个表格,都会用到ListView。 ListView显示从内置QML类型(如ListModel和XmlListModel)创建的模型中的数据,或在C++中定义的从QAbstractItemModel或QAbstract ListModel继承的自定义模型类中的数据。 ListView有一…

[GYCTF2020]Ezsqli1

打开环境,下面有个提交表单 提交1,2有正确的查询结果,3以后都显示Error Occured When Fetch Result. 题目是sql,应该考察的是sql注入 简单fuzz一下 发现information_schema被过滤了,猜测是盲注了。 测试发现只要有东…

(七)for循环控制

文章目录 用法while的用法for的用法两者之间的联系可以相互等价用for改写while示例for和while的死循环怎么写for循环见怪不怪表达式1省略第一.三个表达式省略(for 改 while)全省略即死循环(上面已介绍) 用法 类比学习while语句 …

mac配置L2TP连接公司内网

1. 打开系统设置 2. 打开网络 3. 点击网络页面其他服务右下角三个点,添加VPN配置中的L2TP 4. 配置VPN,服务器填写公司的服务器ip,共享密钥没有可以随便填写 5. 打开终端编辑文件 sudo vim /etc/ppp/opt…

华为机考入门python3--(4)牛客4-字符串分隔

分类:字符串 知识点: 复制符号* 复制3个0 0*3 000 字符串截取 截取第i位到j-1位 str[i:j] 题目来自【牛客】 input_str input().strip()# 先补齐 if len(input_str) % 8 ! 0: input_str 0 * (8 - len(input_str) % 8) # 每8个分 out…

哪些 3D 建模软件值得推荐?

云端地球是一款免费的在线实景三维建模软件,不需要复杂的技巧,只要需要手机,多拍几张照片,就可以得到完整的三维模型! 无论是大场景倾斜摄影测量还是小场景、小物体建模,都可以通过云端地球将二维数据向三…

matplotlib实现动画效果

实现正弦波动画 import matplotlib.pyplot as plt from matplotlib.animation import FuncAnimation import numpy as np# 创建图像和轴 fig, ax plt.subplots()# 生成平均分布在0~2*pi之间的100个坐标点 x_data np.linspace(0, 2 * np.pi, 100) # 画出初始图 line, ax.plo…

【鸿蒙】大模型对话应用(一):大模型接口对接与调试

Demo介绍 本demo对接阿里云和百度的大模型API,实现一个简单的对话应用。 DecEco Studio版本:DevEco Studio 3.1.1 Release HarmonyOS API版本:API9 关键点:ArkTS、ArkUI、UIAbility、网络http请求、列表布局 官方接口文档 此…

21.Arrays类

Arrays类 1. 概述2. 常见方法3. sort 方法的自定义排序4. 代码示例5. 输出结果6. 注意事项 具体信息请查看 API 帮助文档 1. 概述 Arrays类是Java中的一个工具类,位于java.util包中。 它提供了一组静态方法,用于操作数组。通过Arrays类,我们…

台式电脑的ip地址在哪里找

在网络连接方面,IP地址是非常重要的信息,它是用于标识网络设备的唯一地址。对于台式电脑用户来说,了解自己设备的IP地址是非常有必要的,因为它可以帮助解决网络连接问题,进行远程访问和共享文件等功能。本文将指导读者…

Redis(秒杀活动、持久化之RDB、AOF)

目录 秒杀活动 一、测压工具jmete的使用 二、java实现秒杀活动 1、myseckillcontroller 2、先启动pos请求添加商品,再启动jmeter进行压测 Redis持久化 一 、Redis持久化之RDB 1.RDB是什么 2. 备份是如何执行的 3.Fork 4. RDB持久化流程 5. dump.rdb文件 6…

想要透明拼接屏展现更加效果,视频源是技术活,尤其作为直播背景

随着科技的飞速发展,视频制作和显示技术也在不断进步。透明拼接屏视频作为一种新型的视频形式,在许多场合都得到了广泛的应用。尼伽小编将深入探讨透明拼接屏视频的制作过程、要求、清晰度,以及目前常作为直播背景的优势。 一、透明拼接屏视频…

【数据结构1-2】二叉树

树形结构不仅能表示数据间的指向关系,还能表示出数据的层次关系,而有很明显的递归性质。因此,我们可以利用树的性质解决更多种类的问题。 但是在平常的使用中,我们并不需要使用这么复杂的结构,只需要建立一个包含int r…

Vue深入学习4—指令和生命周期

1.Vue是怎么识别 v- 指令的? 首先将HTML结构解析成属性列表,存入到数组中,接着遍历数组中的每一个节点,获取到不同指令对应的方法。 // 将HTML看作真正的属性列表 var ndoeAttrs node.attributes; var self this; // 类数组对象…

modbus poll测试工具测试modbus tcp与PLC设备连接使用方法

socket默认端口是502,socket连上之后, 按照modbuspoll工具设置的读写参数 生成的RTU命令格式去组装读PLC的设备数据 modbuspoll工具配置,以v9.9.2中文破解版为例: 首先点连接菜单(connection)建立连接&…

C#学习(十一)——Array和Collection

一、集合 集合重要且常用 孤立的数据是没有意义的,集合可以作为大量数据的处理,可进行数据的搜索、迭代、添加、删除。 C#中,所有集合都必须实现ICollection接口(数组Array除外) 集合说明Array数组,固定长…