一、环境信息

• 攻击机：192.168.44.133
• 靶机：192.168.44.143
• 靶机下载地址：https://www.vulnhub.com/entry/dc-8,367/

二、信息收集

1、主机存活发现

可以使用nmap或者arp-scan确定靶机IP

• nmap -sn 192.168.44.0/24

• arp-scan -I eth0 -l

2、端口扫描

利用点无外乎80前站和ssh，80也显示了一些drupal的常规目录。

还有drupal 7 注意一下，在后续的提权中如果有相关的漏洞的话，可以只用利用

3、目录扫描

访问robots.txt文件，看到有很多路径和文件，找到登陆界面：user/admin（可以访问）

三、前站测试

sql语句都出来，用sqlmap跑一下，存在sql注入，在users表中找到两个用户

使用john尝试爆破一下。如果成功就可以在登录界面尝试登录了。

john爆破成功,并且成功登录！接下来的思路就是想办法上传木马，反弹shell等。

在个人中心有上传文件功能，尝试上传木马【失败】，使用白名单过滤，只允许图片文件！

找可以执行php代码的地方，上传反弹shell（这里我使用/usr/share/webshells/php/php-reverse-php.php）

找到一个地方：这个页面功能是：用户提交contact之后的响应的响应输出。可以在这里插入木马，然后contact触发代码。

四、提权

使用find查找一些具有root权限的文件：find -perm -u=s -type f 2>/dev/null

exim4命名好像软件或者服务的版本，搜索一下

版本4.89，在searchspolit里面查看是否有相关的提权漏洞可以利用

把bash文件上传到靶机执行即可,靶机要在具有写入权限的目录下接受哦！

下面简单查看一下提权脚本的代码逻辑

可以看到脚本提供了两种方法提权，方法一需要gcc编译环境不支持，这里使用netcat：

在/root/flag.txt中拿到flag!

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）