写在前面
靶场链接:
https://www.vulnhub.com/entry/dc-5,314/
有些知识点在DC:1
中提到,可以翻阅
DC:1
信息收集
存活扫描
这里61
是网关 115
是攻击机 141
为物理机 224
为靶机
端口扫描,banner
识别
开启了80
端口,直接进入
随意浏览一下,并没有太大的发现,留言有一个跳转
目录爆破,这里使用了dirbuster
使用dirb
dirsearch
啥的都可以,都是字典作为关键因素
images
是403
查看到一个叫footer.php
的页面 每次刷新都会随机改变年份
dirsearch
结果展示
dirb
结果展示
文件包含
这个footer.php
应该被用于该网站,看起来像是模板文件引用,在thankyou
这个网页中找到了这个引用,刷新会变化
这里有一点track
的意味了,只能说,仔细想勉强能想到
当我们跳转到thankyou
界面时,可以看到这里并不是post
传参,是get
传参
猜想到是使用参数的方式,进行本地文件包含(现在较为成熟的框架使用模板文件,很难出现这种漏洞)
使用爆破的方式来猜测包含参数
探测成功
做一个测试,本地文件包含没问题
使用目录穿越查看敏感文件
更加细致地查看80
端口banner
可以看到是 nginx
,尝试日志写马,为了防止用户已经更改默认nginx
路径,先查看nginx.conf
文件来查看当前的日志路径,可以看到这里仍是默认路径
查看日志
写phpinfo
测试,是可以的,说明包含页面解析了内容,这时再写马。
写一句话木马
连接成功
当然,此时是低权限用户
使用模拟终端查看一下自己,找一下suid
文件,查看到不寻常的screen
可执行命令
EXP
搜查该可执行命令的poc
,查到一个poc
,和一个exp
查看
尝试上传exp
,但是权限很低
查看一下权限,写到tmp
文件夹
成功写入
赋予执行权限
由于蚁剑并不是交互式终端,先反弹shell到攻击机再执行该脚本
执行成功,提权成功,获得flag
文件