DC-8靶机渗透实战

靶机介绍

这次的靶机渗透实战是一个找寻靶机中的flag的过程，并以获得最终的flag为目标。靶机下载地址[1]，需要更详细的资料可以参考文章1[2]、文章2[3]、文章3[4]

信息搜集

1. 主机发现

1. 端口扫描，服务扫描

1. 先访问WEB页面

对22端口用户名枚举，可使用字典爆破

针对drupal网站，使用droopescan 扫描

渗透实战

再来看看下面: Home: ?nid=1 传参了 而刚才上面的没有任何参数

看到Id就想到sqli, 留言板就要想到XSS 凡是传输数据库的参数id都要特别注意。 Id’ 加个单引号测试

报错了 而且网站的绝对路径泄露。根据’”分析 这个是数值型 在参数nid=3 and 1=1 and 1=2 测试存在不一样的结果，有sql注入 上神器sqlmap

先利用sqlmap 尝试获取目标信息 -f 目标站点指纹信息。

=5.5 mysql -b获取banner信息

–is-dba 判断是否是管理员

通过sqlmap跑出后台帐号hash

使用john登录

contact页面可以编辑

• 注意红框部分，可以编辑php代码，试着反弹shell，（需要注意的是在php代码前面最好写一些字符，否则代码无法执行，不知道什么逻辑）

• 这里其实是在用户提交表单时触发php代码。我们试着提交表单。事先要先监听本地端口。

• 提交表单

• shell已经连接

• 提权前先跑一下脚本，看一些基本信息

• sudo存在漏洞CVE-2019-14287

试了一下权限挺高不过不知道密码。

• SUID如下

没有熟悉的。

• 内核版本也确实没找到什么漏洞

• 搞了一会确实没什么思路。看了大佬的wp。用到了CVE-2019-10149，再次注意到SUID。

• 利用脚本 https://www.exploit-db.com/exploits/46996 此脚本有两种利用方式， - 1 setuid

- 2 netcat

• 使用netcat版本

• 最后

参考资料

[1]

下载地址: http://www.five86.com/dc-8.html

[2]

参考文章1: https://blog.csdn.net/weixin_43762939/article/details/102562498

[3]

参考文章2: https://blog.csdn.net/adminuil/article/details/102613795

[4]

参考文章3: https://www.cnblogs.com/-chenxs/p/11838687.html