DC5打靶思路整理

编程入门 行业动态 更新时间:2024-10-27 23:24:55

DC5打靶<a href=https://www.elefans.com/category/jswz/34/1769825.html style=思路整理"/>

DC5打靶思路整理

曾经沧海难为水,何事秋风悲画扇。 —— 纳兰性德 《木兰词.拟古决绝柬友》

一、信息收集

在不知道IP地址的情况下,我们使用netdiscover进行内网主机发现,结果如下:

使用masscan进行快速端口扫描,并没有发现特殊端口,所以断定目标站点只有HTTP服务可利用:

访问目标站点的80端口,通过wappalyzer并没有手机到任何有用信息:

二、外围打点

既然没有CMS,等可以直接进行漏洞的条件,那只能祭出神器xray进行漏扫了:

通过漏扫发现,确实存在漏洞,是一个解析漏洞:

所以考虑在目标站点上查找上传点,直接上传图片马。不过逛了一圈目标站点,没找到,害。可能存在后台,尝试目录扫描一波,也没啥有用的目录扫出来。囧。

只能回到我们开始的位置,唯一的输入利用点在contact.php,随笔输入一个信息,看输出结果。细心发现,输出后,页面下方的时间发生了改变。

又回想到我们目录扫描时扫出来的文件,footer.php,不是就展示的页面底部内容吗:

随后多次尝试,发现每访问一次footer文件内容,都会发生改变,并且,我们页面底部的版权信息也会随着footer文件的改变而进行改变。所以考虑可能是通过文件包含实现的,因此就可能存在文件包含漏洞。

所以我们先通过burpsuite进行抓包,通过修改参数来测试文件包含漏洞是否存在,当我们使用file 参数进行文件包含时,成功包含了首页内容:

尝试远程文件包含,结果发现不能成功,因此考虑只能通过本地文件包含的方式进行漏洞利用。

考虑到目标站点是使用nginx搭建的,我们可以考虑利用其日志功能写一句话木马进行文件包含,所以我们先在任意位置提交一个一句话木马,让其被记录到日志文件中:

注:此处由于包含access.log时会出错,所以会被记录到error.log中,利用次错误我们向error.log写入一句话木马,再进行包含,发现成功包含了PHP代码。

使用菜刀进行连接,连接url:“/thankyou.php?file=/var/log/nginx/error.log”,连接密码:cmd

成功连接到一句话木马,得到一个低权限的shell:

三、权限提升

查看linux内核版本,发现是3.16.0-4-amd64,版本较低们可以考虑利用啮合漏洞提权,比如脏牛。不过此方法留待查看,不到万不得已不要使用(毕竟容易吧服务器ri崩了)。

得到shell后,我们开始尝试提权,开始尝试SUID和SUDO提权,,在查找SUID文件时,发现大多数命令都不能利用,但是存在一个screen命令,是4.5.-版本

在kali中搜索该组件的漏洞信息,发现确实存在漏洞两个本地提权漏洞:

直接下载到目标靶机执行,发现编译失败,不能成功提权,所以先在kali中先进行编译,载上传到靶机进行提权。依次执行的命令为:

#将第一段代码写入.c文件并编译
vi libhax.c
gcc -fPIC -shared -ldl -o /tmp/libhax.so /tmp/libhax.c
#将第二段代码写入.c文件并编译
rm -f /tmp/libhax.c
vi rootshell.c
gcc -o /tmp/rootshell /tmp/rootshell.c
rm -f /tmp/rootshell.c
# 将剩余代码写入sh脚本,,注意,在写入完成后,在命令行模式下输入“set ff=unix”,否则在靶机上运行会报错。
vi dc5.sh

将刚才编译好的文件和dc5.sh上传到靶机上:

执行dc5.sh,成功获得root权限:

更多推荐

DC5打靶思路整理

本文发布于:2024-02-25 01:43:43,感谢您对本站的认可!
本文链接:https://www.elefans.com/category/jswz/34/1697372.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
本文标签:思路

发布评论

评论列表 (有 0 条评论)
草根站长

>www.elefans.com

编程频道|电子爱好者 - 技术资讯及电子产品介绍!