vulnhub之DC5

在前面的总结,遇见多参数的传值,可以尝试wfuzz来查看是否存在隐藏参数或者检测LFI漏洞

找到目标机器的IP为192.168.1.110

使用nmap来扫描一下开放的端口以及服务

vulnhub之DC5_第1张图片

  1. 80端口http服务(敏感目录爆破,十大常规漏洞的检测,中间件解析漏洞)
  2. 111端口rpc服务 NFS网络文件共享(showmount -a ip来查看具体的文件)

我先使用showmount命令来查看一下 ,现在发现rpcbind服务,我一般都会尝试使用showmount -a命令

并不能挂载到目标主机的NFS

打开目标网站,查看

vulnhub之DC5_第2张图片

我们提交一些随意的信息,来查看

利用get方式提交,多个参数,可以试试让他报错

vulnhub之DC5_第3张图片

注意观察脚注这个位置

vulnhub之DC5_第4张图片

在不断刷新的时候,脚注也是在不断变化,这里很有可能会存在LFI(文件包含)漏洞

我在后面继续添加一个参数名file值为/../../../../etc/passwd时,验证了这一点

vulnhub之DC5_第5张图片

这里就可以提供一个思路

  1. nmap的80端口信息是nginx
  2. nginx的日志位置为/var/log/nginx/accsess.log或者error.log
  3. 如果我们输入一句话木马之后,让日志记录,再利用日志进行命令执行的话就可以反弹shell

让日志记录一句话木马

vulnhub之DC5_第6张图片

这样,nginx的error(错误日志中)就会存在一句话木马了

我这里使用Bp查看,比较明显

vulnhub之DC5_第7张图片

在本地使用nc监听444端口,让目标主机发送shell

vulnhub之DC5_第8张图片

vulnhub之DC5_第9张图片

关于提权,目前学到了两个方法:

  1. 如果登入的用户本身就存在root用户的权限(sudo -l)命令来查看具体权限
  2. 如果用户是低权限(find / -perm -u=-s -type f 2>/dev/null)来参看SUID的二进制文件位置

vulnhub之DC5_第10张图片

这里就可以看到screen 4.5.0,进入search 查看漏洞

vulnhub之DC5_第11张图片

根据这个41154.sh的内容一步一步来操作

创建一个libhax.c的文件,内容如下:

vulnhub之DC5_第12张图片

第二步(注意当前文件位置是不是/tmp下)

第三步

创建rootshell.c文件

vulnhub之DC5_第13张图片

同样的,注意文件位置

最后,创建一个exp.sh文件,内容如下:

vulnhub之DC5_第14张图片

使用python的简单的http协议

我们到获取目标shell的窗口,查看vulnhub之DC5_第15张图片

发现,tmp文件内拥有777权限,进入tmp文件,下载本地的三个文件

使用wget命令rootshell和libhax.so文件也是相同的方法

vulnhub之DC5_第16张图片

最后给exp.sh文件赋777权限

vulnhub之DC5_第17张图片

运行exp.sh

vulnhub之DC5_第18张图片

获取root权限了,查看flag

vulnhub之DC5_第19张图片

 

 

 

 

 

 

 

 

你可能感兴趣的:(OSCP靶机,vulbhub,靶机教程)