Vulnhub靶機(jī)：DC-5

標(biāo)簽：本地文件包含(LFI)、FUZZ若未、PHP偽協(xié)議禾怠、nginx日志文件寫一句話恩商、反彈shell变逃、screen提權(quán)

0x00 環(huán)境準(zhǔn)備

下載地址：https://www.vulnhub.com/entry/dc-5,314/
flag數(shù)量：1
攻擊機(jī)：kali
攻擊機(jī)地址：192.168.1.31
靶機(jī)描述：

DC-5 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing.

The plan was for DC-5 to kick it up a notch, so this might not be great for beginners, but should be ok for people with intermediate or better experience. Time will tell (as will feedback).

As far as I am aware, there is only one exploitable entry point to get in (there is no SSH either). This particular entry point may be quite hard to identify, but it is there. You need to look for something a little out of the ordinary (something that changes with a refresh of a page). This will hopefully provide some kind of idea as to what the vulnerability might involve.

And just for the record, there is no phpmailer exploit involved. :-)

The ultimate goal of this challenge is to get root and to read the one and only flag.

Linux skills and familiarity with the Linux command line are a must, as is some experience with basic penetration testing tools.

For beginners, Google can be of great assistance, but you can always tweet me at @DCAU7 for assistance to get you going again. But take note: I won't give you the answer, instead, I'll give you an idea about how to move forward.

But if you're really, really stuck, you can watch this video which shows the first step.

0x02 信息搜集

1.探測(cè)靶機(jī)地址

命令：arp-scan -l
靶機(jī)地址是192.168.1.33

2.探測(cè)靶機(jī)開(kāi)放端口

命令：nmap -sV -p- 192.168.1.33
開(kāi)放了80端口，看一下80端口怠堪，不是什么CMS揽乱。

3.掃描目錄

命令：dirb 192.168.1.33 /usr/share/wordlists/fuzzDicts/directoryDicts/php/phpFileName.txt

也沒(méi)有什么敏感目錄，只有contcat模塊和用戶有交互粟矿，看一下這個(gè)模塊凰棉。

0x03 本地文件包含LFI

在Contact模塊下可以留言，隨便填寫一下提交：

提交后頁(yè)面：

誒陌粹，下面的2019好像變成2018了撒犀，再刷新幾次看看

又變了，這里應(yīng)該是footer.php控制的掏秩，訪問(wèn)一下footer.php看看或舞。

多刷新幾次，發(fā)現(xiàn)也會(huì)改變蒙幻，所以這應(yīng)該是剛才那個(gè)頁(yè)面thankyou.php包含了footer.php映凳，這里應(yīng)該是有個(gè)文件包含。fuzz一下

這里通過(guò)index.php來(lái)爆破參數(shù)

發(fā)現(xiàn)一個(gè)file參數(shù)邮破，驗(yàn)證一下诈豌，訪問(wèn)：192.168.1.33/thankyou.php?file=/etc/passwd

file確實(shí)是文件包含的參數(shù)仆救，這是一個(gè)Linux系統(tǒng)。
除了這樣驗(yàn)證队询，還可以使用PHP偽協(xié)議讀取thankyou.php代碼來(lái)查看是否存在文件包含漏洞派桩，訪問(wèn)http://192.168.1.33/thankyou.php?file=php://filter/read=convert.base64-encode/resource=thankyou.php

Base64解碼后可以看到，確實(shí)有文件包含漏洞

0x04 nginx日志文件寫入shell

使用瀏覽器插件可以看到web容器是nginx

嘗試尋找nginx的日志文件蚌斩，里面會(huì)記錄請(qǐng)求的信息。通過(guò)請(qǐng)求信息來(lái)注入惡意代碼范嘱。nginx日志文件默認(rèn)放在/var/log/nginx下送膳，以.log結(jié)尾，使用burp爆破一下：

發(fā)現(xiàn)該目錄下存在兩個(gè)文件丑蛤，分別是access.log和error.log叠聋。

寫入一句話

使用phpinfo驗(yàn)證

連菜刀

連接成功

0x05 反彈shell

在/tmp/目錄下新建一個(gè)php文件，用來(lái)反彈shell：

先在kali上監(jiān)聽(tīng)指定端口受裹，然后文件包含shell.php文件

成功得到shell碌补，切換到bash外殼，命令：python -c 'import pty;pty.spawn("/bin/bash")'

0x06 提權(quán)

使用find命令棉饶，查找具有suid權(quán)限的命令厦章。命令：find / -perm -u=s -type f 2>/dev/null

發(fā)現(xiàn)有個(gè)screen，別問(wèn)我為啥用這個(gè)提權(quán)照藻，表哥們都用袜啃，咱也不敢問(wèn)。
命令：searchsploit screen 4.5.0

發(fā)現(xiàn)兩個(gè)可利用文件幸缕，使用第一個(gè)群发，復(fù)制下來(lái)進(jìn)行編譯。
首先將上部分的c語(yǔ)言代碼另存為libhax.c文件：

編譯：gcc -fPIC -shared -ldl -o libhax.so libhax.c

將中間部分的C語(yǔ)言代碼另存為rootshell.c文件：

編譯：gcc -o rootshell rootshell.c

將41154.sh中剩下的代碼整理一下发乔，另存為dc5.sh熟妓，并輸入:set ff=unix，保存退出

將整理好的3個(gè)文件用菜刀上傳到靶機(jī)的/tmp目錄下

為dc5.sh添加執(zhí)行權(quán)限并執(zhí)行

提權(quán)成功栏尚，在/root下找到flag文件

由于我不會(huì)每天都登錄簡(jiǎn)書起愈，所以有什么私信或者評(píng)論我都不能及時(shí)回復(fù)，如果想要聯(lián)系我最好給我發(fā)郵件抵栈，郵箱：Z2djMjUxMTBAMTYzLmNvbQ==告材，如果發(fā)郵件請(qǐng)備注“簡(jiǎn)書”

參考鏈接：

1.Vulnhub靶機(jī)實(shí)戰(zhàn)——DC-5
2.VulnHub—DC-5
3.DC-5 vulnhub靶機(jī)實(shí)戰(zhàn)

最后編輯于：2020.05.09 13:04:58

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者

人面猴
序言：七十年代末，一起剝皮案震驚了整個(gè)濱河市古劲，隨后出現(xiàn)的幾起案子斥赋，更是在濱河造成了極大的恐慌，老刑警劉巖产艾，帶你破解...
沈念sama閱讀 216,997評(píng)論 6贊 502
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件疤剑，死亡現(xiàn)場(chǎng)離奇詭異滑绒，居然都是意外死亡，警方通過(guò)查閱死者的電腦和手機(jī)隘膘，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 92,603評(píng)論 3贊 392
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進(jìn)店門疑故，熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái)，“玉大人弯菊，你說(shuō)我怎么就攤上這事纵势。” “怎么了管钳？”我有些...
開(kāi)封第一講書人閱讀 163,359評(píng)論 0贊 353
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵钦铁，是天一觀的道長(zhǎng)。經(jīng)常有香客問(wèn)我才漆，道長(zhǎng)牛曹，這世上最難降的妖魔是什么？我笑而不...
開(kāi)封第一講書人閱讀 58,309評(píng)論 1贊 292
?港島之戀（遺憾婚禮）
正文為了忘掉前任醇滥，我火速辦了婚禮黎比，結(jié)果婚禮上，老公的妹妹穿的比我還像新娘鸳玩。我一直安慰自己阅虫，他們只是感情好，可當(dāng)我...
茶點(diǎn)故事閱讀 67,346評(píng)論 6贊 390
惡毒庶女頂嫁案：這布局不是一般人想出來(lái)的
文/花漫我一把揭開(kāi)白布怀喉。她就那樣靜靜地躺著书妻，像睡著了一般。火紅的嫁衣襯著肌膚如雪躬拢。梳的紋絲不亂的頭發(fā)上躲履，一...
開(kāi)封第一講書人閱讀 51,258評(píng)論 1贊 300
城市分裂傳說(shuō)
那天，我揣著相機(jī)與錄音聊闯，去河邊找鬼工猜。笑死，一個(gè)胖子當(dāng)著我的面吹牛菱蔬，可吹牛的內(nèi)容都是我干的篷帅。我是一名探鬼主播，決...
沈念sama閱讀 40,122評(píng)論 3贊 418
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開(kāi)眼拴泌，長(zhǎng)吁一口氣：“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼魏身！你這毒婦竟也來(lái)了？” 一聲冷哼從身側(cè)響起蚪腐，我...
開(kāi)封第一講書人閱讀 38,970評(píng)論 0贊 275
萬(wàn)榮殺人案實(shí)錄
序言：老撾萬(wàn)榮一對(duì)情侶失蹤箭昵，失蹤者是張志新（化名）和其女友劉穎，沒(méi)想到半個(gè)月后回季，有當(dāng)?shù)厝嗽跇?shù)林里發(fā)現(xiàn)了一具尸體家制，經(jīng)...
沈念sama閱讀 45,403評(píng)論 1贊 313
?護(hù)林員之死
正文獨(dú)居荒郊野嶺守林人離奇死亡正林，尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點(diǎn)故事閱讀 37,596評(píng)論 3贊 334
?白月光啟示錄
正文我和宋清朗相戀三年，在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了颤殴。大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片觅廓。...
茶點(diǎn)故事閱讀 39,769評(píng)論 1贊 348
活死人
序言：一個(gè)原本活蹦亂跳的男人離奇死亡，死狀恐怖涵但，靈堂內(nèi)的尸體忽然破棺而出杈绸，到底是詐尸還是另有隱情，我是刑警寧澤矮瘟，帶...
沈念sama閱讀 35,464評(píng)論 5贊 344
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布蝇棉，位于F島的核電站，受9級(jí)特大地震影響芥永，放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜钝吮，卻給世界環(huán)境...
茶點(diǎn)故事閱讀 41,075評(píng)論 3贊 327
男人毒藥：我在死后第九天來(lái)索命
文/蒙蒙一埋涧、第九天我趴在偏房一處隱蔽的房頂上張望。院中可真熱鬧奇瘦，春花似錦棘催、人聲如沸。這莊子的主人今日做“春日...
開(kāi)封第一講書人閱讀 31,705評(píng)論 0贊 22
一樁弒父案醇坝，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽(yáng)。三九已至次坡，卻和暖如春呼猪，著一層夾襖步出監(jiān)牢的瞬間，已是汗流浹背砸琅。一陣腳步聲響...
開(kāi)封第一講書人閱讀 32,848評(píng)論 1贊 269
情欲美人皮
我被黑心中介騙來(lái)泰國(guó)打工宋距，沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留，地道東北人症脂。一個(gè)月前我還...
沈念sama閱讀 47,831評(píng)論 2贊 370
代替公主和親
正文我出身青樓谚赎，卻偏偏與公主長(zhǎng)得像，于是被迫代替她去往敵國(guó)和親诱篷。傳聞我的和親對(duì)象是個(gè)殘疾皇子壶唤，可洞房花燭夜當(dāng)晚...
茶點(diǎn)故事閱讀 44,678評(píng)論 2贊 354