DC-5

准备工作

在vulnhub官网下载DC:5靶机DC-5

信息收集

nmap -A -T4 -sV -p - 192.168.1.14

image.png
可以看到开放的端口比较少 111端口在经过查询以后发现没有什么可以利用的
访问80端口

观察页面发现contact页面可以提交东西

但是刷新几次会发现下面的时间会变化,说明页面是动态的,可能有文件包含

测试没有问题

这里要说明两点,file和footer.php,为什么可以判定是file,其实包含文件就这么几个,一一测试一下即可,判断是footer.php也是因为这里给了提示的,实际来说,还是有要一个强大的目录字典,配合目录扫描工具(burpsuit也可以的)猜解的。

文件包含

尝试包含Nginx的日志文件,默认日志路径是/var/log/nginx/access.log


成功!
/hackyou
然后使用蚁剑连接
http://192.168.1.14/thankyou.php?file=/var/log/nginx/access.log

打开虚拟终端反弹shell
这个shell不太稳定

然后使用python 反弹shell

python -c "import pty;pty.spawn('/bin/bash')"

权限提升

查看是否存在root权限无密码的存在,输入命令行

find / -perm -u=s -type f 2>/dev/null

image.png
发现screen-4.5.0比较可疑,尝试用searchsploit搜索是否存在漏洞
image.png

searchsploit -p 41154.sh 查看位置
cp /usr/share/exploitdb/exploits/linux/local/41154.sh /tmp

复制到/tmp目录下
image.png
对两短代码分别进行编译

gcc -fPIC -shared -ldl -o tmp/libhax.so tmp/libhax.c  
gcc -o tmp/rootshell tmp/rootshell.c

然后把文件用蚁剑上传到目标机器/tmp目录

安装sh脚本上的执行即可获得shell
image.png
获得flag

参考文章

1_Ry-DC-5靶机渗透 小豆饼_DC-5靶机渗透记录

posted @ 2022-05-19 08:33  vir-k  阅读(119)  评论(0编辑  收藏  举报