DC-8打靶记录
一、信息收集
主机发现
使用arp协议扫描网段存活主机
1 | arp-scan -l |
发现目标主机ip 192.168.113.166
端口扫描
1 | nmap -sV 192.168.113.166 |
根据端口扫描可以开放了22和80端口
二、漏洞挖掘与利用
访问目标靶机对应的web服务
对web服务功能进行测试
可以看到details对应着不同的nid
那么这里可能与数据库有交互,可能存在sql注入
测试sql注入
使结果为假
可以看到构造为真和为假结果是不一样的
这里存在sql注入
使用sqlmap进行漏洞利用
爆数据库
1 | sqlmap http://192.168.113.166/?nid=1 -dbs |
爆表名
1 | sqlmap http://192.168.113.166/?nid=1 -D d7db -tables |
数据库中有一个users表
爆users表数据
1 | sqlmap http://192.168.113.166/?nid=1 -D d7db -T users --dump |
1 | sqlmap -u http://192.168.113.166/?nid=1 --batch -D "d7db" -T "users" -C "name,pass" --dump |
这里密码是加密了
这里使用john进行解密
但是只破解开了john的密码是turtle
然后就是找用户登录的页面了
这里通过dirsearch进行目录扫描
发现了usr登录路由
使用我们获得的账号密码进行登录
成功登录
下面我们要找的就是能够进行php代码执行的地方
然后在contact us找到一个可以编辑php代码的地方
这里可以编辑php代码
我们这里先使用phpinfo测试代码是否会被执行
输入信息提交
可以看到代码执行成功了
那我们这里可以写入shell,拿下服务器权限
但是这里我们并不知道写入shell的路径
所以我们这里通过反弹shell拿下服务器权限
kali开启监听
反弹shell成功
1 | python -c "import pty;pty.spawn('/bin/bash')" |
输入命令进入交互模式
我们现在是普通用户权限
三、提权
要想拿下这台服务器就要进行提权
最常用的就是suid提权
1 | find / -user root -perm -4000 -print 2>/dev/null |
使用find命令查找具有suid权限的命令
我们可以看到exim4这个命令有s权限位
查看以学exim4版本
可以看到是4.89的版本
使用searchsploit工具查找exim版本存在的漏洞
将利于脚本下载到攻击机
然后我们要把脚本传到目标靶机上
这里再攻击机上面开一个web服务
通过wget命令将文件下载到目标靶机
提升脚本权限
执行脚本提升权限
1 | ./46996.sh -m netcat |
可以看到成功提升到root权限
- 标题: DC-8打靶记录
- 作者: GTL-JU
- 创建于: 2023-10-13 18:51:22
- 更新于: 2023-10-13 18:55:17
- 链接: https://gtl-ju.github.io/2023/10/13/DC-8打靶记录/
- 版权声明: 本文章采用 CC BY-NC-SA 4.0 进行许可。