實驗環(huán)境

Vmware workstation
kali2020
DC-5
DC-5靶機網(wǎng)卡和kali是一樣的
kali 的ip地址：192.168.6.129

主機發(fā)現(xiàn)

sudo arp-scan -l

靶機ip 192.168.6.135

信息收集

nmap -sV 192.168.6.135

訪問一下，發(fā)現(xiàn)concat頁面每次提交后刷新頁面的年份都不同

網(wǎng)上有提到footer.php

訪問到footer.php文件時，刷新一次年份會發(fā)生改變。

應該是thankyou.php調用了footer.php。文件包含漏洞。

嘗試攻擊

確實是。

將一句話木馬寫入到php的日志文件中

在前面的nmap掃描中，我們已經(jīng)知道該web服務器使用的是Nginx服務，并且在網(wǎng)站上的每一步操作都將會被寫入日志文件log內

日志路徑為：/var/log/nginx/access.log

后來靶機好像有點遭，我就又裝了一回，IP 192.168.6.136

nc命令直接進行shell反彈

先連接蟻劍，虛擬終端

提權

切換到交互模式shell

python -c 'import pty;pty.spawn("/bin/bash")'

查找文件

find / -perm -u=s -type f 2>/dev/null

發(fā)現(xiàn)了一個看起來就不正常的文件。

用searchsploit命令對screen-4.5.0搜索

searchsploit screen 4.5.0

利用/usr/share/exploitdb/exploits/linux/local/目錄下的41154.sh文件

將其搞到當前目錄下查看

看到兩條命令，按照其說明將第一部分保存為libhax.c 第二部分保存為rootshell.c 然后進行編譯

gcc -fPIC -shared -ldl -o /tmp/libhax.so /tmp/libhax.c

gcc -o /tmp/rootshell /tmp/rootshell.c

將41154.sh中剩下部分代碼另存為dc5.sh腳本文件

并在保存dc5.sh文件輸入 :set ff=unix ，否則在執(zhí)行腳本文件時后出錯

將libhax.so 、rootshell 、dc5.sh三個文件上傳到靶機的/tmp目錄下

賦予dc5.sh執(zhí)行權限并運行

總結

以上是生活随笔為你收集整理的DC-5靶机渗透的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。