宁可枝头抱香死,何曾吹落北风中。这篇文章主要讲述靶机DC-6相关的知识,希望能为你提供帮助。
靶机下载地址:??https://www.five86.com/dc-6.html??
扫描网段探针靶机ip (NAT)
文章图片
访问下web站点
发现无响应,看下控制台,类似DC2需要添加本地解析
文章图片
编辑etc/hosts文件,添加本机ip地址和目标网站名称
文章图片
再次访问web站点,访问正常
文章图片
是个wordpress站点,看下页面内的内容,一直再说插件安全问题
【靶机DC-6】wpscan扫下,枚举出来一些用户,类似DC2可以尝试下爆破
文章图片
不建议直接用这个字典跑,正确密码在这个字典的第700多万行
在官网下载的时候提示了使用rockyou字典的时候要使用命令筛选出带k01的字符
文章图片
使用新生成的字典跑密码
文章图片
登录博客后台/wp-admin,发现有个插件Activity on Wordy
文章图片
搜索一下相关漏洞,使用wordpress的这个
文章图片
切到对应的目录查看poc
将poc的部分粘出来新建一个.html文件
文章图片
修改action的值为插件tools的链接
修改nc的ip为kali的ip
文章图片
文章图片
通过浏览器访问该文件,有一个按钮
先在kali上监听反弹的端口,然后点击按钮即可
文章图片
文章图片
获取交互式shell
python -c \'import pty; pty.spawn("/bin/sh")\'
在/home/mark/stuff目录下找到一个文本文件,记录了一个新用户的信息
文章图片
之前wpscan枚举用户的时候枚举出了这个用户,尝试登录下后台,发现登录失败
发现是ssh的登录账号
文章图片
发现jens可以无密码执行这个脚本
文章图片
修改这个脚本,我是直接把注释符号去掉就可以了,空行删不掉凑活看吧
然后需要已jens的身份来运行这个脚本文件
文章图片
再看下jens哪些指令可以无密码执行
nmap可以无密码执行
文章图片
可以查下nmap的提权方式
参考??https://blog.csdn.net/zijiaijd/article/details/117165224??
/home/jens目录是有写的权限的,echo写入的内容必须要加上引号
执行nse文件的命令必须要带上sudo,否则出来的权限不是管理员权限
拿到权限后输入命令不显示,打上命令后回车即可
文章图片
推荐阅读
- Redis核心原理与实践--字符串实现原理
- MySQL中找出谁持有MDL锁
- SpringCloud怎么使用Nacos做注册中心+配置中心()
- 一文看懂Spring Bean注解!莫要再被各种“注解”搞晕了!
- Java技术指南「并发编程专题」Guava RateLimiter限流器入门到精通(源码分析)
- spark-sql 查询报错(Invalid method name: ‘get_table_req‘)
- ?超级详细万文零基础也能学的面向对象—没对象(new一个!)
- linux 性能优化大纲
- MAC下使用selenium躲过亚马逊反爬虫机制