DC系列靶机渗透测试 DC8

1.主机发现

2.端口扫描，服务扫描

3.先访问WEB页面

对22端口用户名枚举

使用字典爆破
无果。
针对drupal网站，使用droopescan 扫描


有没有想过同样的功能，为何上面有，侧面又要出现一次呢
分析： 上
Home: http://192.168.2.140/
Who are we: /node/2
Contcat

再来看看下面:
Home: ?nid=1 传参了 而刚才上面的没有任何参数



看到Id就想到sqli, 留言板就要想到XSS
凡是传输数据库的参数id都要特别注意。
Id’ 加个单引号测试


报错了 而且网站的绝对路径泄露。根据’”分析 这个是数值型
在参数nid=3 and 1=1 and 1=2 测试存在不一样的结果，有sql注入
神器sqlmap

解密： 无果 （先不着急用john爆破）
$S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF
先利用sqlmap 尝试获取目标信息
-f 目标站点指纹信息。

=5.5 mysql
-b获取banner信息

–is-dba 判断是否是管理员


尝试 os-shell 利用mysql存储过程拿shell，拒绝


使用john登录


更改密码，此处可以添加用户头像 反弹shell
没成功。
contcat
留言处。利用这个反弹shell


Title添加好了直接回车。

在webform 添加一个留言框。

点击 4. 先使用phpinfo测试

然后在留言板提交：

测试成功，利用msfvenom生成php后门文件



结果没有弹回来？？？？
有个奇怪的现象 使用msf
Use exploit/multi/handler

因为反弹脚本地址写的是192，168，2，20
但是使用handler监听就会出现问题。

难道因为我的IP是静态吗，换成Vmnet8，动态获取重试

进入shell下面就是提权了

发现一个 exim4 （中奖了啊）

./sh -m netcat (第一个setuid没有成功，那位大哥成功了方便告诉我一声 多谢。)

最后这个shell极不稳定，最好nc一个新的shell。