靶机实战-DC-5_dc-5靶机远程控制

DC-5靶机实战

1、主机发现

目标IP：192.168.232.169
arp-scan 优点是速度快，但不能跨网段

2、端口及端口详细信息扫描

3、访问80端口(http服务)

只发现Contact页面，有一个留言板块
用AWVS扫一下：


发现其它目录，访问扫出来的目录：


发现thankyou.php的页脚信息跟footer.php不一样

再看一下footer发现跟上一次也不一样

Thankyou.php也会变，猜测thankyou直接调用了footer.php
用bp抓包尝试：

应该是使用php的 ‘include()’ 函数来包含了 ‘footer.php’ 文件，直接导致了LFI漏洞
利用nginx的日志拿shell：
随意写入一个get的cmdshell

<?php passthru($_GET['cmd']); ?>
1

直接包含nginx log的地址，这个地址是Linux默认的

然后带上cmd命令试试：//kali提前开启监听


拿到webshell

4、提权

切换交互式shell

在/tmp目录下上提权辅助脚本

参考文档：

https://www.cnblogs.com/linuxsec/articles/6110887.html

有python，用python执行：


发现screen-4.5.0的uid为root，可以利用
查找screen 4.5.0的漏洞脚本文件

我一开始直接上传sh脚本执行是出错的，bing查了一下，需要先完成以下几个工作
第一步：把该bash文件的上面一部分c语言代码单独复制出来：


然后在本地编译它，编译命令 .sh里有：

第二步：
把下面的c语言代码也单独复制出来

编译：

第三步：
将41154.sh中剩下部分代码另存为dc5.sh脚本文件

最后把这3个文件全部都上传到靶机上面：
kali先开启apache服务

三个都用wget下载

执行该bash，发现出错：


通过搜索发现是因为 该sh开发作者是使用 Windows环境开发

参考文档：https://blog.csdn.net/ooooooobh/article/details/82766547

用vim打开该sh文件，使用 :set ff=unix 保存

在上传：

最后赋权限，执行：//拿到root权限