DC8靶场复盘

vulnhub-DC8靶场复盘

端口扫描

这个主要考察从web端进入

web探测

0.用dirsearch找到网页所有的目录 知道有mysql服务 暗示要sql注入 而且有robots.txt 其中有user/login目录
1.在网页点击其他链接的时候看到url有参数 尝试注释闭合
发现有sql注入点

2.用sqlmap得到管理员账号

最终找到两条记录 然后将这个hash放到一个目录用john 去跑 可以找到john的密码
3.登录网站管理员的账号
有一个edit选项 里面可以上传文件 但是无法上传php文件

在contactus webform 发现可以修改用户上传之后的提示回显 并且可以用PHP代码 实验之后发现确实可以渲染php
现在可以用system指令来反弹shell


这个指令可以在反弹的shell里面加上前缀 可以美化输出
随便看看这个用户目录下的文件

提权

find / -user root -perm -4000 -print 2>/dev/null 意思从根目录开始找 所有者是root 只包括suid 的 然后将标准错误不输出

这里利用exim提权（先查看这里exim4的版本 用searchsploit exim发现漏洞
然后把文件复制到/var/www/html 下方便传输到受害机

在受害机上面用wget接受这个脚本


有两种方法使用这个脚本 选择第二种 因为 第二种在脚本说可以有一个shell
但是如果我们用 cat -A 查看这个a.sh 文件发现 末尾都是^M
用dos2unix转换之后 可以运行 bash a.sh -m netcat

发现成功提权 然后到/root目录下 就解决！！