【DC8靶机】

信息收集

开启dc8靶机


使用nmap扫描下当前网段。发现存在dc8靶机192.168.85.139主机。且主机开启了22端口以及80端口。
打开http服务。

web——getshell

经过测试，在home页面中，点击侧边栏，存在nid参数，经过测试该处存在sql注入点。



经过测试，当前数据表存在一个字段。


使用联合注入的方式获取到当前数据库名，d7db。

获取当前数据库的表个信息。看到当前数据库存在users数据表格。

Payload= nid=-1  union select group_concat(table_name) from information_schema.tables where table_schema=database()

获取users数据表格的字段信息。

Payload=nid=-1  union select group_concat(column_name) from information_schema.columns where table_name='users'

获取users表格数据

Payload = nid=-1  union select group_concat(name,pass,0x7e) from users

获取到账号密码，

admin ：$S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z
john ：$S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF

将密码写入到文本中，准备使用john工具进行密码爆破。

由于第一次已经爆破成功，john工具只能通过使用–show指令查看上次爆破的结果。
发现密码已经成功爆破trutle。账号经过测试是john。

成功登录。

发现在Concat Us功能中的webfrom下的from settings中可以写入php代码。


写入测试代码phpinfo()

触发php代码执行的条件是，需要在Concat Us功能中提交信息。信息提交后，即会触发php代码执行。

提交后触发php代码下，显示phpinfo()界面。

修改代码，直接使用system函数执行nc反弹。


nc反弹成功。

系统提权

使用suid提权的信息搜索指令，发现存在exim4指令。百度了下，发现存在本地提权漏洞。

获取exim4指令版本信息，发现是4.89版本。

使用searchsploit搜索exim，发现存在系统提权漏洞。

为了将shell文件传送到dc8靶机上，在kali靶机上开启一个http服务。


在dc8靶机上使用wget指令下载。

打开shell文件，大致浏览了下。发现有两种模式使用，我选择使用netcat模式进行提权，该模式提权后会在本地一个端口反弹root用户的shell。

成功获取到root用户的shell。

成功读取flag，游戏结束。
.

参考链接

dc8靶机下载地址：https://www.vulnhub.com/entry/dc-8,367/.
dc8靶机代码执行处参考文章：https://blog.csdn.net/Auuuuuuuu/article/details/103550382