freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

VulnHub通关日记-DC_5-Walkthrough
2020-03-04 00:43:46

靶机介绍

DC-5 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing.

 

The plan was for DC-5 to kick it up a notch, so this might not be great for beginners, but should be ok for people with intermediate or better experience. Time will tell (as will feedback).

 

靶机地址:https://www.vulnhub.com/entry/dc-5,314/

学习到的知识

LFI(本地文件包含)日志获取shell
wfuzz工具的使用
screen提权root

信息搜集

拿到 IP 先扫描端口开放服务:

图片

 

它这边只开放了 80(http)和 111(RPC)两个端口服务!

 

RPC 他是一个RPC服务,主要是在nfs共享时候负责通知客户端,服务器的nfs端口号的。简单理解rpc就是一个中介服务。

 

我们先来到 WEB 端,但是没有什么可利用点,只有一个表单提交的地方:

图片

 

我随便提交了一些内容,发现了它会被提交到 thankyou.php 这个文件:

 

图片

LFI本地文件包含获取shell

看上去有点像 LFI(本地文件包含)漏洞,紧接着我用 KALI 自带的 wfuz 工具对它一顿FUZZ**:

图片

 

由于FUZZ出来的参数太多了!而且好多都没有,我两眼一迷的仔细找到了一个参数:

图片

 

打开后我发现它可以读取系统文件:

 

图片

 

这个时候确定了它存在本地文件包含!那么我继续用 wfuzz 缩小我们得到的参数范围:

图片

 

这样我们就成功的得到一些可利用的参数:

图片

 

随后我发现了它的一个日志文件里有我们的请求记录:

图片

 

既然日志能记录我们的操作,那么我们就写入一句话到日志文件里吧:

图片

 

(温馨提示:到这里我靶机重启了一下,所以 IP 变了)

 

接下来然后用日志文件去执行命令 ls

图片

 

成功执行命令!那么我就用 nc 反弹一个shell回来吧!先是 KALI nc 监听 5555 端口,然后访问得到一枚 shell

图片

 

得到 shell 以后我用 python 切换到 bash

图片

权限提升

之后我查找 SUID 权限的文件发现了 screen :

图片

 

紧接着我又去搜索了一下关于 screen 的漏洞,找到了一个提权 poc

图片

 

接着我按照上面的 POC 创建了 libhax.crootshell.c 文件,文件内容是:

图片

 

随后用 gcc 编译他们:

图片

 

编译完后我用 nc 把刚刚编译好的文件传到目标服务器上:

图片

 

图片

 

最后按照 POC 上面的步骤依次输入命令提权为 root

图片

图片

图片

图片

图片

 

最终也是在 /root 目录下拿到了 Flag

 

图片

 

公众号:Gcow安全团队


本文作者:, 转载请注明来自FreeBuf.COM

# ctf靶场系列
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑