Vulnhub-dc6

信息收集

# nmap -sn 192.168.1.0/24 -oN live.port      
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-25 14:39 CST
Nmap scan report for 192.168.1.1
Host is up (0.00075s latency).
MAC Address: 00:50:56:C0:00:08 (VMware)
Nmap scan report for 192.168.1.2
Host is up (0.00022s latency).
MAC Address: 00:50:56:FE:B1:6F (VMware)
Nmap scan report for 192.168.1.95
Host is up (0.00013s latency).
MAC Address: 00:0C:29:D7:4A:3C (VMware)
Nmap scan report for 192.168.1.254
Host is up (0.00094s latency).
MAC Address: 00:50:56:F1:2C:8A (VMware)
Nmap scan report for 192.168.1.60
Host is up.
Nmap done: 256 IP addresses (5 hosts up) scanned in 2.02 seconds

判断到存活主机的IP地址为192.168.1.95

# nmap -sT --min-rate 10000 -p- 192.168.1.95 -oN port.nmap        
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-25 14:40 CST
Nmap scan report for 192.168.1.95
Host is up (0.00061s latency).
Not shown: 65533 closed tcp ports (conn-refused)
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
MAC Address: 00:0C:29:D7:4A:3C (VMware)

Nmap done: 1 IP address (1 host up) scanned in 3.42 seconds

端口开放情况,只是开放了两个端口,分别是22端口和80端口;

# nmap -sT -sC -sV -O -p80,22 192.168.1.95 -oN details.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-25 14:41 CST
Nmap scan report for 192.168.1.95
Host is up (0.00055s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0)
| ssh-hostkey: 
|   2048 3e:52:ce:ce:01:b6:94:eb:7b:03:7d:be:08:7f:5f:fd (RSA)
|   256 3c:83:65:71:dd:73:d7:23:f8:83:0d:e3:46:bc:b5:6f (ECDSA)
|_  256 41:89:9e:85:ae:30:5b:e0:8f:a4:68:71:06:b4:15:ee (ED25519)
80/tcp open  http    Apache httpd 2.4.25 ((Debian))
|_http-title: Did not follow redirect to http://wordy/
|_http-server-header: Apache/2.4.25 (Debian)
MAC Address: 00:0C:29:D7:4A:3C (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 13.08 seconds

开放服务的详细信息探测。开放的80端口是Apache2.4.25 存在一个title! 再也没有其他的信息了!

# nmap -sT --script=vuln -p80,22 192.168.1.95 -oN vuln.nmap 
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-25 14:41 CST
Pre-scan script results:
| broadcast-avahi-dos: 
|   Discovered hosts:
|     224.0.0.251
|   After NULL UDP avahi packet DoS (CVE-2011-1002).
|_  Hosts are all up (not vulnerable).
Nmap scan report for 192.168.1.95
Host is up (0.00051s latency).

PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
|_http-dombased-xss: Couldn't find any DOM based XSS.
|_http-csrf: Couldn't find any CSRF vulnerabilities.
| http-wordpress-users: 
| Username found: admin
| Username found: graham
| Username found: mark
| Username found: sarah
| Username found: jens
|_Search stopped at ID #25. Increase the upper limit if necessary with 'http-wordpress-users.limit'
| http-enum: 
|   /wp-login.php: Possible admin folder
|   /readme.html: Wordpress version: 2 
|   /wp-includes/images/rss.png: Wordpress version 2.2 found.
|   /wp-includes/js/jquery/suggest.js: Wordpress version 2.5 found.
|   /wp-includes/images/blank.gif: Wordpress version 2.6 found.
|   /wp-includes/js/comment-reply.js: Wordpress version 2.7 found.
|   /wp-login.php: Wordpress login page.
|   /wp-admin/upgrade.php: Wordpress login page.
|_  /readme.html: Interesting, a readme.
MAC Address: 00:0C:29:D7:4A:3C (VMware)

Nmap done: 1 IP address (1 host up) scanned in 55.06 seconds

默认漏洞脚本的信息探测结果显示:存在wordpress! 其中存在的几个用户也给我们显示了出来,之后便是一些有关于wordpress的页面!从80端口寻找突破点肯定是没什么疑问的,这里也存在很大的概率是在wordpress上建立初始的立足点!

渗透测试

先看看80端口上的服务是什么样子的:

尝试修改host!

添加: 192.168.1.95 wordy

首页就是这样的啦!既然是存在wordpress!那就先上wpscan工具!

识别到的用户信息:

admin
jens
graham
mark
sarah

和我们的信息收集的脚本得到的用户信息是一样的!既然拿到了这么多的用户名信息,我在这里对于这些用户名有两个思路:

  1. 对wordpress的后台进行爆破;
  2. 对ssh进行爆破;

先来尝试ssh吧,毕竟能成功的话,直接就拿到了初始的立足点;这里用hydra去测试吧:

尝试了后台的登录密码爆破,没得到密码,同时ssh也失败了!

字典数量过大,没跑出来;继续找网站上面的漏洞!wordpress的版本是5.1.1

但是wpscan并没有发现有漏洞的插件和主题信息!

后面发现了靶场的下载地址下面存在提示:

因为爆破的时候,rockyou字典实在是太大了,很难去爆破!所以给出来了提示!那么我们就匹配出来k01作为一个字典,重新进行爆破!

重新进行爆破:

时间怎么还是这么长~ 30min过去了还是没有结果,还是先去看看插件上的漏洞:

wpscan --url http://wordy/ --plugins-detection aggressive #使用插件主动探测模式进行插件漏洞的探测:

最终还是得到了几个漏洞,XSS就先不关注了;

RCE这个比较好,不知道能不能利用!

还有一个是权限提升~ 很明显了,看看RCE能不能用了!

需要授权,可是没有密码呀,那可怎么办? 这里回想起来前面只是做了ssh的爆破,是不是密码并不是ssh的,而是网页上面的? 那就去爆破一下网站的账号和密码吧!

还真的是~ 找到了一个 hydra实在是太慢了 直接先试试能不能ssh上去~

mark helpdesk01

发现上不去~ 还是回到了网页上面!

没什么问题 确实是进来了!功能点比较少,毕竟不是admin,还是先试试我们刚才看到的漏洞!利用searchsploit搜索这个漏洞!

下载45274:

修改这两个文件!

保存之后,直接使用浏览器打开该文件!

然后起监听,在点击submit request!

成功的建立了初始的立足点,接下来就提权

提权

首先提升一下shell的交互性!然后看到了当前目录下面的配置文件,也就是wp的配置文件:wp-config.php

wpdbuser	meErKatZ

于是进入了mysql的数据库中,发现了wp_users表!查看里面的用户数据:

但是尝试解密,会发现只有mark能解密成功,其他的密码都没法解密出来!

查看了etc/passwd文件,发现确实存在这四个活跃的用户,看看他们的家目录下面是否存在相关文件:

在jens目录下面发现了一个文件,这个文件看起来不太一样,看看里面的内容是什么!

发现他解压了backups压缩包到网站的目录下面!

同时在mark目录下面发现了stuff文件!里面又一个文件貌似是提示!

恢复hyperdrive的全部功能(需要跟jens沟通)
为了sarah的告别晚会买礼物
添加一个新的用户grahm 后面应该是密码
申请OSCP课程
给sarah买一个笔记本电脑

利用上面的账号和密码信息,可以切换到graham的权限:

查看sudo权限,发现了:

当前的用户,可以无密码以jens的权限去执行backups脚本,依旧是我们刚才看见的文件!

刚好graham所属的组在devs中,具有修改的权限,因此我们可以将提权的脚本写在里面!

写了反弹在里面,起监听!准备执行

执行之后,收到反弹shell:

查看当前用户具有的sudo权限!

发现当前用户可以无密码以root权限去执行nmap!nmap提权分为两种:

低版本的nmap提权方式是: 利用nmap的--interactive 进入交互式命令行执行!/bin/bash即可
高版本的nmap提权方式为:
 利用--script执行脚本  nmap的脚本后缀为.nse
 那么我们可以将提权的命令写入到脚本中 执行
 echo "os.execute('/bin/bash')" > payload.nse
 sudo nmap --script=payload

读取最终的flag文件:

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/352687.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

IS-IS:10 ISIS路由渗透

ISIS的非骨干区域,无明细路由,容易导致次优路径问题。可以引入明细路由。 在IS-IS 网络中,所有的 level-2 和 level-1-2 路由器构成了一个连续的骨干区域。 level-1区域必须且只能与骨干区域相连,不同 level-1 区域之间不能直接…

.NET高级面试指南专题一【委托和事件】

在C#中,委托(Delegate)和事件(Event)是两个重要的概念,它们通常用于实现事件驱动编程和回调机制。 委托定义: 委托是一个类,它定义了方法的类型,使得可以将方法当作另一个…

SpringMVC第六天(拦截器)

概念 拦截器(Interceptor)是一种动态拦截方法调用的机制,在SpringMVC中动态拦截控制器方法的执行 作用: 在指定的方法调用前后执行预先设定的代码 阻止原始方法的执行 拦截器与过滤器的区别 归属不同:Filter属于Servlet技术,I…

递归方法猴子吃桃问题

public class A {public static void main(String[] args) {System.out.println("第一天有:"f(1)"个");System.out.println("第二天有:"f(2)"个");System.out.println(".....");System.out.println(&…

【揭秘】ForkJoinTask全面解析

内容摘要 ForkJoinTask的显著优点在于其高效的并行处理能力,它能够将复杂任务拆分成多个子任务,并利用多核处理器同时执行,从而显著提升计算性能,此外,ForkJoinTask还提供了简洁的API和强大的任务管理机制&#xff0c…

保姆级教学:Java项目从0到1部署到云服务器

目录 1、明确内容 2、apt 2.1、apt 语法 2.2、常用命令 2.3、更新apt 3、安装JDK17 4、安装MySQL 4.1、安装 4.2、检查版本及安装位置 4.3、初始化MySQL配置⭐ 4.4、检查状态 4.5、配置远程访问⭐ 4.6、登录MySQL 4.7、测试数据库 4.8、设置权限与密码⭐ 5、安…

cmake工具的安装

1、简介 CMake 是一个开源的、跨平台的自动化建构系统。它用配置文件控制编译过程的方式和Unix的make相似,只是CMake并不依赖特定的编译器。CMake并不直接建构出最终的软件,而是产生标准的建构文件(如 Unix 的 Makefile 或 Windows Visual C …

GPT 如何不挂VPN使用

1、下载 Home | Tampermonkey 将下载的文件tampermonkey_stable.crx 拖到上面的扩展程序里面 2、登录Greasy Fork - 安全、实用的用户脚本大全 搜索自己想要使用的东西,如GPT 找到 CHAT网页增强了 点击按安装,然后打开使用方法里面的 网址就可以使用

day04 两两交换链表中的节点、删除链表倒数第N个节点、链表相交、环形链表II

题目链接:leetcode24-两两交换链表中的节点, leetcode19-删除链表倒数第N个节点, leetcode160-链表相交, leetcode142-环形链表II 两两交换链表中的节点 基础题没有什么技巧 解题思路见代码注释 时间复杂度: O(n) 空间复杂度: O(1) Go func swapPairs(head *Li…

JavaEE-自定义SSM-编写核心-解析yml文件

3.3.1 加载yml文件 编写yaml工厂&#xff0c;用于加载yml文件 package com.czxy.yaml;import java.io.InputStream;/*** 用于处理 application.yml文件* 1. 加载application.yml文件* 2. yaml工具类进行解析* Map<String, Map<String, Map<....>> >* …

[数据结构]-哈希

前言 作者&#xff1a;小蜗牛向前冲 名言&#xff1a;我可以接受失败&#xff0c;但我不能接受放弃 如果觉的博主的文章还不错的话&#xff0c;还请点赞&#xff0c;收藏&#xff0c;关注&#x1f440;支持博主。如果发现有问题的地方欢迎❀大家在评论区指正 本期学习目标&…

代码随想录刷题笔记-Day12

1. 二叉树的递归遍历 144. 二叉树的前序遍历https://leetcode.cn/problems/binary-tree-preorder-traversal/94. 二叉树的中序遍历https://leetcode.cn/problems/binary-tree-inorder-traversal/145. 二叉树的后续遍历https://leetcode.cn/problems/binary-tree-postorder-tra…

混淆矩阵、准确率、查准率、查全率、DSC、IoU、敏感度的计算

1.背景介绍 在训练的模型的时候&#xff0c;需要评价模型的好坏&#xff0c;就涉及到混淆矩阵、准确率、查准率、查全率、DSC、IoU、敏感度的计算。 2、混淆矩阵的概念 所谓的混淆矩阵如下表所示&#xff1a; TP:真正类&#xff0c;真的正例被预测为正例 FN:假负类&#xf…

09. Springboot集成sse服务端推流

目录 1、前言 2、什么是SSE 2.1、技术原理 2.2、SSE和WebSocket 2.2.1、SSE (Server-Sent Events) 2.2.2、WebSocket 2.2.3、选择 SSE 还是 WebSocket&#xff1f; 3、Springboot快速集成 3.1、添加依赖 3.2、创建SSE控制器 3.2.1、SSEmitter创建实例 3.2.2、SSEmi…

K8s-持久化(持久卷,卷申明,StorageClass,StatefulSet持久化)

POD 卷挂载 apiVersion: v1 kind: Pod metadata:name: random-number spec:containers:- image: alpinename: alpinecommand: ["/bin/sh","-c"]args: ["shuf -i 0-100 -n 1 >> /opt/number.out;"]volumeMounts:- mountPath: /optname: da…

Ubuntu findfont: Font family ‘SimHei‘ not found.

matplotlib中文乱码显示 当我们遇到这样奇怪的问题时, 结果往往很搞笑 尝试1不行 Stopping Jupyter Installing font-manager: sudo apt install font-manager Cleaning the matplotlib cache directory: rm ~/.cache/matplotlib -fr Restarting Jupyter. 尝试2 This work fo…

AI大模型开发架构设计(6)——AIGC时代,如何求职、转型与选择?

文章目录 AIGC时代&#xff0c;如何求职、转型与选择&#xff1f;1 新职场&#xff0c;普通人最值钱的能力是什么?2 新职场成长的3点建议第1点&#xff1a;目标感第2点&#xff1a;执行力第3点&#xff1a;高效生产力 3 新职场会产生哪些新岗位机会?如何借势?4 新职场普通人…

微信小程序(十七)自定义组件生命周期(根据状态栏自适配)

注释很详细&#xff0c;直接上代码 上一篇 新增内容&#xff1a; 1.获取手机状态栏的高度 2.验证attached可以修改数据 3.动态绑定样式数值 源码&#xff1a; myNav.js Component({lifetimes:{//相当于vue的created,因为无法更新数据被打入冷宫created(){},//相当于vue的mount…

【运行Python爬虫脚本示例】

主要内容&#xff1a;Python中的两个库的使用。 1、requests库&#xff1a;访问和获取网页内容&#xff0c; 2、beautifulsoup4库&#xff1a;解析网页内容。 一 python 爬取数据 1 使用requests库发送GET请求&#xff0c;并使用text属性获取网页内容。 然后可以对获取的网页…

基于python flask茶叶网站数据大屏设计与实现,可以做期末课程设计或者毕业设计

基于Python的茶叶网站数据大屏设计与实现是一个适合期末课程设计或毕业设计的项目。该项目旨在利用Python技术和数据可视化方法&#xff0c;设计和开发一个针对茶叶行业的数据大屏&#xff0c;用于展示和分析茶叶网站的相关数据。 项目背景 随着互联网的快速发展&#xff0c;越…