信息收集
开启dc8靶机
使用nmap扫描下当前网段。发现存在dc8靶机192.168.85.139主机。且主机开启了22端口以及80端口。
打开http服务。
web——getshell
经过测试,在home页面中,点击侧边栏,存在nid参数,经过测试该处存在sql注入点。
经过测试,当前数据表存在一个字段。
使用联合注入的方式获取到当前数据库名,d7db。
获取当前数据库的表个信息。看到当前数据库存在users数据表格。
Payload= nid=-1 union select group_concat(table_name) from information_schema.tables where table_schema=database()
获取users数据表格的字段信息。
Payload=nid=-1 union select group_concat(column_name) from information_schema.columns where table_name='users'
获取users表格数据
Payload = nid=-1 union select group_concat(name,pass,0x7e) from users
获取到账号密码,
admin :$S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z
john :$S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF
将密码写入到文本中,准备使用john工具进行密码爆破。
由于第一次已经爆破成功,john工具只能通过使用–show指令查看上次爆破的结果。
发现密码已经成功爆破trutle。账号经过测试是john。
成功登录。
发现在Concat Us功能中的webfrom下的from settings中可以写入php代码。
写入测试代码phpinfo()
触发php代码执行的条件是,需要在Concat Us功能中提交信息。信息提交后,即会触发php代码执行。
提交后触发php代码下,显示phpinfo()界面。
修改代码,直接使用system函数执行nc反弹。
nc反弹成功。
系统提权
使用suid提权的信息搜索指令,发现存在exim4指令。百度了下,发现存在本地提权漏洞。
获取exim4指令版本信息,发现是4.89版本。
使用searchsploit搜索exim,发现存在系统提权漏洞。
为了将shell文件传送到dc8靶机上,在kali靶机上开启一个http服务。
在dc8靶机上使用wget指令下载。
打开shell文件,大致浏览了下。发现有两种模式使用,我选择使用netcat模式进行提权,该模式提权后会在本地一个端口反弹root用户的shell。
成功获取到root用户的shell。
成功读取flag,游戏结束。
.
参考链接
dc8靶机下载地址:https://www.vulnhub.com/entry/dc-8,367/.
dc8靶机代码执行处参考文章:https://blog.csdn.net/Auuuuuuuu/article/details/103550382