1. 靶机下载地址
https://www.vulnhub.com/entry/dc-5,314/
2. 环境说明
使用VMware Workstation 打开虚拟机,设置网络为NET模式
靶机ip:192.168.10.135
攻击ip:192.168.10.133
3. 信息收集
使用命令:arp-scan -l 发现内网中的主机
使用命令:nmap -A -p- 192.168.10.135,扫描端口和对应的详细服务信息
发现开放80端口,则可以进行网页访问
发现留言板
提交留言
页面跳转到Thankyou.php
爆破目录
访问扫描得到的网址,查看内容
发现本页面每次访问结果不相同
该页面为页脚在thankyou页面中,猜测此页面存在文件包含漏洞
4.漏洞发现
访问敏感目录,发现漏洞
Bp抓包,尝试使用日志包含,传入一句话木马
根据nmap扫描结果得知服务为nginx,默认日志地址/var/log/nginx/
连接地址http://192.168.10.135/thankyou.php?file=/var/log/nginx/error.log
连接后,尝试执行命令成功
5.提权
然后我们寻找具有sudo权限的操作
find / -perm -u=s -type f 2>/dev/null
发现有个screen,查找可用于screen 4.5.0的漏洞脚本文件
第一步:创建并编译libhax.c(攻击机编译即可)
根据41154.sh中上面一部分c语言代码另存为libhax.c 编译libhax.c文件
gcc -fPIC -shared -ldl -o libhax.so
第二步:创建rootshell并编译文件(攻击机编译即可)
将41154.sh中下面一部分c语言代码另存为rootshell.c
gcc -o rootshell rootshell.c
第三步:创建dc5.sh文件,保存时注意先执行set ff=unix
将41154.sh中剩余部分另存为dc5.sh
将整理好的文件通过蚁剑上传到靶机的tmp目录下,并修改文件权限
执行脚本dc5.sh提权
提权成功,在root目录下存在thisistheflag.txt
原文始发于微信公众号(CTS纵横安全实验室):DC靶机实战记录05
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论