0x00 前言
多做,靶机真的会越打越轻松。多积累多沉淀,一直学下去就好。
19年的kali环境出问题了,找了20年的来用,一开始拒绝,后面好香啊!
0x01 流水
nmap 192.168.5.0/24
看到又ssh端口就知道后面可能会找到用户来登陆。
去80端口发现会自动跳转到 wordy导致无法访问,这种情况在dc-2中就遇到过,只需要改一下hosts就好
vi /etc/hosts
访问80端口,和dc-2一样的用了wordpress
结合靶机给的提示 cat /usr/share/wordlists/rockyou.txt | grep k01 >password.txt
想到这里要爆破,用kali的大字典里带有k01的字典
接下来去枚举用户 wpscan --url "http://wordy/" -e u
用刚才导出来的字典爆破
成功找到一个,接下来去登陆
登陆后发现又 activity 插件(这里偷瞄的wp)
然后用找一找漏洞库
每个都拿下来看一看,searchsploit -m +文件名
前三个都是xss,对继续渗透没用,第四个是 cve-2018-15877 百度了一下发现是命令执行,利用方法耶比较简单
接下来直接反弹一个shell,并用python虚拟一个终端
接下里去home目录看看有那些用户并且看看有没有什么可用的,最后在mark中找到了一组用户密码
接下来ssh去登陆靶机
登陆过后看看有没有什么可用的sudo命令
可用jens的权限去使用backups.sh
压缩一个文件,这里我们写入 /bin/bash 进去,这样就可以运行的时候就可以得到jens身份运行的终端
echo "/bin/bash" > backups.sh
写入过后运行,sudo -u jens backups.sh 成功到jens用户
接下来再 sudo -l
nmap提权
echo 'os.execute("/bin/bash")' > getShell
sudo nmap --script=getShell
接下来去root目录看答案就好