VulnHub靶机渗透之DC:5

这次的内容是DC系列的第五个靶机,不得不说这个系列每一个靶机都很有代表性,闲话少叙,搞起来。

第一步依然是端口扫描,不解释

从扫描结果来看,靶机除了开放了web服务外,貌似还开放了nfs,尝试扫描一下,没结果,看来被带跑偏了。

接着从web下手,没发现什么上可以利用的地方,google被和谐了,只好求助bing,有大神说thankyou.php这个页面看起来应该有个本地文件包含漏洞可以利用(话说怎么看出来的呢?),如下图。

尝试读取/etc/passwd,确实可以读取到本地的文件。但是也只是可以读取而已,怎么才能写入webshell呢?

大神们的思路真是广,利用nginx的日志实现写入,只要把精心编辑过的代码包含到web的请求中就可以利用日志功能将内容写入到文件了。

那么利用curl向服务端提交一个get请求,并将UA设置为包含反弹shell的php代码。

本地利用nc监听相应端口,利用之前找到的本地文件包含漏洞执行刚刚写入到日志中的php代码,成功反弹shell,再用python的pty得到交互式shell。

通过find命令查找具有suid的文件,找到了两个疑似可以利用的,一个是at,一个是screen-4.5.0,先查看at的uid,不是root,不具备利用条件。

screen-4.5.0这个文件的uid为root,貌似可以利用。

通过sploit-db搜索利用方法。

根据文件中的内容编译libhax.so和rootshell,并上传到目标的/tmp目录下,并执行exploit.sh脚本。

最后执行rootshell,成功得到root权限。

在root目录下找到了flag文件。

成功拿到flag。

原文发布于微信公众号 - 吾生也有涯IT也无涯(UnlessITSkill)

原文发表时间:2019-07-07

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

扫码关注云+社区

领取腾讯云代金券