点击蓝字 关注我们
免责声明
本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。
如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。
文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。
添加星标不迷路
由于公众号推送规则改变,微信头条公众号信息会被折叠,为了避免错过公众号推送,请大家动动手指设置“星标”,设置之后就可以和从前一样收到推送啦
DC-5打靶记录
信息收集
收集ip
arp-scan -l
发现为192.168.111.242
端口扫描
nmap扫出来了
nmap -A -p 1-65535 192.168.111.242
扫出来80和111端口 111端口没用
目录扫描
python .dirsearch.py -u http://192.168.111.242 -e*
扫出来的东西都没多大用
getshell
漏洞探测
访问http://192.168.111.242/
点菜单的几个超链接 发现只有contact能够交互 其他都是固定界面
然后用识别工具 识别 发现只有nginx和php
在菜单输入内容 然后用burp抓包
保存文件到sqlmap 让sqlmap去跑 并没有sql注入
后来发现菜单是get传参 跟以往的post不一样 于是又修改传参方式 发送请求包
发现跟get一模一样
然后又用sqlmap跑 什么都没有
因为基本只有这个界面有交互 所以认定漏洞很可能出自这里
然后多尝试几次 发现返回包这个年限在2018,2019,2020之间来回跳动
更加坚定可能 于是又用dirsearch扫了一遍
python .dirsearch.py -u http://192.168.111.242/contact.php -e*
发现了下图的网址
http://192.168.111.242/thankyou.php/wp-content/plugins/wp-publication-archive/includes/openfile.php?file=
一看include file关键词 联合上面年限一直变的原因 这不妥妥文件包含
果然如此
尝试了一下 不能远程文件包含 它应该就是cat 命令 需要后面跟文件的路径
这几个按钮没什么用
漏洞利用
利用上面的文件包含 任意读取文件
http://192.168.111.242/thankyou.php/wp-content/plugins/wp-publication-archive/includes/openfile.php?file=/etc/passwd
这时候想 单纯一个任意文件上传怎么可能getshell
于是又利用逻辑符号执行命令
command1&command2 两个命令同时执行
command1&&command2 只有前面命令执行成功,后面命令才继续执行
command1;command2 执行多个命令
command1||command2 顺序执行命令,只要有正确的命令后面的命令就不执行
发现都没用
emmm
中间件利用
由于中间件是nginx 所以查看Linux中nginx的配置文件
/etc/nginx/nginx.conf
/etc/nginx/conf.d/x.conf也是其配置文件
好像nginx并没有数据库的配置文件。有反向代理对应的文件 但是好像里面也没有啥东西
查看日志
/var/log/nginx/access.log
/var/log/nginx/error.log
都能查看
因为是php的包含文件
所以尝试执行错误的一句话木马然后记录在日志里面 然后利用文件包含的特性 getshell
一句话木马会存在存放错误的日志里面
这时候可以用蚁剑直接连接
后渗透
上线msf
uname -a #发现有x86_64,所以是64位
经典msf生成木马 监听 执行 之类的
提权
利用上线的session 用python获取一个shell
python -c 'import pty;pty.spawn("/bin/bash")'
用sudo -l 查看有sudo权限的二进制文件
没有
然后用
find / -perm -u=s -type f 2>/dev/null
查看具有suid权限的二进制文件
在这上面 试了下exim4 查看版本
exim4 --version
发现版本是4.84_2
而能够提权的版本是4.87-4.91
然后又利用msf的自动化提权模块 不行
利用 traitor提权 也不行
根据内核版本 用脏牛提权也不行
然后想到nginx可能有提权的漏洞
果真如此
适用于Debian:Nginx1.6.2-5
这里查看Nginx版本信息为
好像正好符合 但是还不行
最后上网发现 是利用具有suid权限的screen-4.5.0提权的
searchsploit screen 4.5
下载下来 然后开启http服务
直接执行就能
获取权限
欢迎关注SecHub网络安全社区,SecHub网络安全社区目前邀请式注册,邀请码获取见公众号菜单【邀请码】
#
企业简介
赛克艾威 - 专注政企安全服务
北京赛克艾威科技有限公司(简称:赛克艾威),成立于2016年9月,具有中国网络安全审查技术与认证中心安全风险评估服务三级资质CCRC,信息安全保障人员资质CISAW(安全评估专家级)。
安全评估|渗透测试|漏洞扫描|安全巡检
代码审计|钓鱼演练|应急响应|安全运维
重大时刻安保|企业安全培训
联系方式
电话|010-86460828
官网|https://sechub.com.cn
关注我们
公众号:sechub安全
哔哩号:SecHub官方账号
原文始发于微信公众号(SecHub网络安全社区):红队打靶 | vulnhub系列:DC-5
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论