DC-6
青 叶

实在想不到不是我没想到,而是字典有问题~~

另:从这篇博文开始就不给出某一些简单的命令行代码了

DC-6

基础信息收集

NMAP Result:

image

其它的收集就不展示了,因为也没怎么用到。

SSH服务和HTTP服务,emmm,来来去去都这两个啊~~

和之前的一个靶机套路一致,加一下HOSTS文件本地域名解析才能正常打开。

枚举用户

image

网站上基本找不到啥有用的信息,用wpscan看看:

1
wpscan --url http://wordy

给出了WP版本和主题的版本:

image

搜了一下exploit-db,不能直接搞,那看来还是得走别的途径了。

枚举一下WP的用户:

1
wpscan --url http://wordy --enumerate u

image

爆破密码

讲道理,这里我也爆破过,用的字典是:cirt-default-passwords.txt,一开始没爆出来,我还以为不是这个思路,还纠结地找了别的半天的突破口,后来百度Writeup,心态崩了,原来是我的字典有问题~~

根据别人的Writeup做法,使用Kali的Rockyou字典爆破,然后:

image

这不对劲,这得爆破到猴年马月去,不对不对!

然后大师傅给出了这张截图:

image

我。。。我懂了,我悟了!

1
2
cat rockyou.txt | grep k01 > pwd.txt
wpscan --url http://wordy/ -U user -P pwd.txt

噢,总算爆破出来了。。。

image

命令行注入

image

登录后,随便逛了逛,然后找到了这个:

image

嗅到一丝命令行注入的气息,于是打开了Burp测试:

image

居然真的是,这。。。这么简单的么?

反弹shell

直接反弹一个shell回来开始最后的阶段╮(╯▽╰)╭

image

找找home目录下有没有啥线索:

image

backups.sh引起了我的注意:

image

确实只是一个备份的脚本,看下一个人的home有啥:

image

这个就有趣了:

image

直接给出了graham的密码,芜湖~~

提权

ssh连上去看看:

image

成功连上,检查内核看看是否有内核提权:

image

搜了一下,没有。。

发现sudo有一个脚本的权限:

image

image

脚本的内容之前看过,

image

可读可写,那么在文件最后加一行:

image

然后就可以切换到jens用户了:

image

再次找到sudo的特殊权限:

image

nmap提权应该算是挺简单的(了解过nse就好),去/tmp目录写一个nse脚本用于提权:

1
echo 'os.execute("/bin/bash")' > /tmp/escape.nse

image

然后用nmap加载这个脚本:

image

END~~╮(╯▽╰)╭

感觉最近提权的套路好像都是这些╮(╯▽╰)╭