渗透测试之DC-6
主机发现,端口扫描:
添加hosts方便解析。
发现是wordpress,进行wpscan扫描,发现如下用户:
将用户全部导出,然后根据靶机官网提示制作字典**:
得到密码登录成功。
发现存在activity monitor监听器,本来想通过查看登录成功是否会记录密码,但是发现没有,最后搜索发现存在命令执行漏洞:
参考文章:http://www.oniont.cn/index.php/archives/257.html
反弹shell:
美化一下:
尝试SUID提权:
没有可用的信息。通过翻文件夹找到提示信息:
应该是graha账户的登录密码,尝试shell登录成功。
通过查看sudo权限,发现可以用jens的权限执行一个sh脚本:
查看脚本内容和相关权限:
发现devs组用户对脚本拥有修改权限,而graha用户属于devs组,可以篡改脚本内容反弹shell:
执行脚本:
获取jens用户:
美化shell之后查看sudo权限:
旧版的nmap是拥有交互功能的,可以用来提权,看看帮助文件:
版本较新,交互功能已经取消了。还可以通过添加nmap脚本提权:nmap的脚本是使用lua语言写的,所以添加一个lua语言弹shell的脚本,然后利用nmap的script参数加载:
获取flag: