题外话:这是第一个我自己完全没有搜索过WP的靶机,可以说从信息收集到最终拿到Root权都没有怎么参照过别人的做法,可能是这个靶机简单了,也可能是自己水平提升起来了,加油!(ง •_•)ง
DC-8
基础信息收集
NMAP Result:
Nikto Result:
可以看到Nikto已经把Web App类型给找到了,Drupal 7,上Droopescan:
sql注入
本想一把梭,结果:
好像没有,打开网页看看:
象征性地测试一下SQL注入:
框架中存在sql注入的可能性我感觉其实很低,这里也只是顺手测试了一下,没想到居然真的存在注入。
sqlmap直接一把梭:
1 | sqlmap -u http://192.168.145.141/?nid=1 --dbms MySQL --dbs |
1 | sqlmap -u http://192.168.145.141/?nid=1 --dbms MySQL -D d7db --tables |
1 | sqlmap -u http://192.168.145.141/?nid=1 --dbms MySQL -D d7db -T users --dump |
于是,john暴力一下:
这个hash是属于用户john的。
反弹shell
登录Web APP,找找哪里能执行PHP代码,最终在Contact Us的WebForm的Form Setting中找到了:
一开始是直接写的<?php system($_GET[‘cmd’]); ?> ,报错system function not defined,就干脆换Kali内置的WebShell了。
然后用Kali的WebShell复制粘贴上去该Format为PHP Code,可以在这个目录下找到:
1 | /usr/share/webshells/php |
使用该shell注意修改这两个值:
在Contact Us随便填然后submit,成功拿到反弹shell:
提权
接下来就是提权了,看一下内核利用:
内核无法利用,查看sudo:
要密码,无法利用,看一下特殊权限文件:
其实也想过用最近的sudo漏洞来提权,但是:
从上到下都依次搜索了一下提权,最终确认exim可提权,exim版本:
把利用的shell脚本拷贝到靶机,然后下一步提权:
1 | # Kali |
给脚本赋权:
1 | chmod 777 exp.sh |
出现了问题,是换行符引起的,用sed把换行符清理一下:
1 | sed -i 's/\r//' exp.sh |
提权失败了,陷入沉思,看了下脚本,发现还有第二种用法:
用第二种方法看看:
成功提权!
拿到最终的Flag:
1 | cat /root/*flag* |
成就感满满~~(●ˇ∀ˇ●)
- 本文标题:DC-8
- 本文作者:青 叶
- 创建时间:2021-04-02 18:21:02
- 本文链接:p/42745/
- 版权声明:本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!