DC-8是一个易受攻击的实验环境,最终目的是让攻击者获得root权限,并读取flag。
本篇文档中用到了shell反弹和exim提权。
1 环境搭建
下载靶场文件,使用Vbox或者VM打开即可;攻击机使用kali-2020。
2 主机发现
使用Kali中的arp-scan工具扫描结果如下:
![](https://img-blog.csdnimg.cn/20201210182733582.png)
172.16.12.149为DC-8靶机的IP地址。
3 端口探测
探测使用nmap工具
端口扫描结果如下:
![](https://img-blog.csdnimg.cn/20201210182733595.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1c5ODMwNzk1MjA=,size_16,color_FFFFFF,t_70)
由扫描结果知开放端口有两个:22(SSH服务默认端口)和80(http默认端口)。
4 访问web
访问web界面如下:
![](https://img-blog.csdnimg.cn/20201210182733605.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1c5ODMwNzk1MjA=,size_16,color_FFFFFF,t_70)
5 对网站信息收集
打开插件Wappalyzer进行网站指纹识别如下:
![](https://img-blog.csdnimg.cn/20201210182733604.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1c5ODMwNzk1MjA=,size_16,color_FFFFFF,t_70)
从指纹识别信息中提取出的信息有:
1 CMS(内容管理系统):Drupal 7
2 编程语言:PHP
3 Web服务器:Apache 2.4.25
4 JavaScript库:jQuery 1.4.4
6 用户密码破解
点击网站随便查看发现robots.txt文件可以访问
![](https://img-blog.csdnimg.cn/20201210182920379.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1c5ODMwNzk1MjA=,size_16,color_FFFFFF,t_70)
查看其中并未发现值得注意的地方
点击翻看网页发现分别点击以下三个节点页面会出现提示
![](https://img-blog.csdnimg.cn/20201210182930427.png)
![](https://img-blog.csdnimg.cn/20201210182733614.png)
![](https://img-blog.csdnimg.cn/20201210182733616.png)
![](https://img-blog.csdnimg.cn/20201210182733615.png)
查看网站url发现也是随之变化
http://172.16.12.150/?nid=1
http://172.16.12.150/?nid=2
http://172.16.12.150/?nid=3
这是有存在sql注入的可能性,在此之前已尝试过找见用户登录处使用burp爆破admin账号和ssh登录爆破(ssh登录需要public key文件和密码,无法爆破),直接上sqlmap给伺候起来,得到数据库如下
![](https://img-blog.csdnimg.cn/20201210182733621.png)
暴表,发现有user表存在
![](https://img-blog.csdnimg.cn/20201210182733617.png)
暴列
![](https://img-blog.csdnimg.cn/20201210182733627.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1c5ODMwNzk1MjA=,size_16,color_FFFFFF,t_70)
暴字段
![](https://img-blog.csdnimg.cn/20201210182733640.png)
将两条pass内容存进shadow文件中,使用john破解
![](https://img-blog.csdnimg.cn/20201210182733695.png)
使用tuetle密码登录web尝试,john登录成功
![](https://img-blog.csdnimg.cn/20201210183030411.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1c5ODMwNzk1MjA=,size_16,color_FFFFFF,t_70)
7 拿root
找到find content
![](https://img-blog.csdnimg.cn/20201210182733658.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1c5ODMwNzk1MjA=,size_16,color_FFFFFF,t_70)
尝试添加写入一句话代码但是失踪不能连接上,现在使用shell反弹试一下
![](https://img-blog.csdnimg.cn/20201210182733645.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1c5ODMwNzk1MjA=,size_16,color_FFFFFF,t_70)
再点击到view顺便填写进行提交,如下
![](https://img-blog.csdnimg.cn/20201210182733649.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1c5ODMwNzk1MjA=,size_16,color_FFFFFF,t_70)
在kali上查看已连接到靶机
![](https://img-blog.csdnimg.cn/20201210182733697.png)
使用python打开shell终端
![](https://img-blog.csdnimg.cn/20201210182733683.png)
查看系统变量
![](https://img-blog.csdnimg.cn/20201210182733694.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1c5ODMwNzk1MjA=,size_16,color_FFFFFF,t_70)
查看系统版本和sudo -l可执行
![](https://img-blog.csdnimg.cn/20201210182733696.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1c5ODMwNzk1MjA=,size_16,color_FFFFFF,t_70)
查看是否有特殊执行位的文件
![](https://img-blog.csdnimg.cn/20201210182733700.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1c5ODMwNzk1MjA=,size_16,color_FFFFFF,t_70)
发现exim可以执行,寻找相关的提权漏洞
![](https://img-blog.csdnimg.cn/20201210182733717.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1c5ODMwNzk1MjA=,size_16,color_FFFFFF,t_70)
查看exim版本
![](https://img-blog.csdnimg.cn/20201210182733899.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1c5ODMwNzk1MjA=,size_16,color_FFFFFF,t_70)
这里选择本地权限提升的脚本如下
![](https://img-blog.csdnimg.cn/20201210182733742.png)
查找文件
![](https://img-blog.csdnimg.cn/20201210182733752.png)
将此文件复制到/var/www/html/目录下,开启HTTPServer服务
![](https://img-blog.csdnimg.cn/20201210182733751.png)
在反弹的shell中下载脚本,在/var/www/html目录下没权限,切换到/tmp目录下载成功
![](https://img-blog.csdnimg.cn/20201210182733830.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1c5ODMwNzk1MjA=,size_16,color_FFFFFF,t_70)
文件结束符有错误,将其替换查看
![](https://img-blog.csdnimg.cn/20201210182733855.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1c5ODMwNzk1MjA=,size_16,color_FFFFFF,t_70)
查看脚本用法
![](https://img-blog.csdnimg.cn/20201210182733841.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1c5ODMwNzk1MjA=,size_16,color_FFFFFF,t_70)
开始提权./46996.sh –m setuid这种方法提权失败
![](https://img-blog.csdnimg.cn/20201210182733861.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1c5ODMwNzk1MjA=,size_16,color_FFFFFF,t_70)
尝试另一种./46996.sh –m netcat,提权成功。
![](https://img-blog.csdnimg.cn/20201210182733868.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1c5ODMwNzk1MjA=,size_16,color_FFFFFF,t_70)
查看/root下flag.txt文件
![](https://img-blog.csdnimg.cn/20201210182733878.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L1c5ODMwNzk1MjA=,size_16,color_FFFFFF,t_70)