DC-5靶机复现

 · 2021-1-8 · 次阅读


无聊的时候翻微信公众号看到了一篇DC-5(vulhub系列的复现教程),反正无聊不如打打靶机玩吧。

安装地址:https://www.five86.com/downloads/DC-5.zip

不要再浏览器里面安装,迅雷快的一批。

老规矩下下来后,直接先nmap -sP探存活:

image-20210108201733944

kali是128那他就是137了。直接我在本机打,NAT可以访问到:

image-20210108201802597

老规矩扫个目录先:

image-20210108201945034

拉跨了。。还没我在目录上点出来的多。

这五个功能点点完了,只有contact.php有留言:

image-20210108202129789

随便写一点吧。。XSS也没有就不试了。

image-20210108202213919

提交完后是这个样子,但是很奇怪,这个footer怎么变成2018了。。。

还这么上面。

image-20210108202309152

之前的是这样。

仔细看是之前输入什么url中就出来什么,,用的get吧。。。

猜测可能每个页面都包含了footer.php文件,而thankyou.php的footer很奇怪。好像是特别包含了一个文件。考点就是文件包含吧。。。

但是不知道哪个参数是,用的get的形式可以直接在get中进行fuzz。

image-20210108202611084

BP一把梭。

image-20210108202749022

没有包含成功。可能不需要跨越目录,但的确存在这个参数,长度直接992了。

image-20210108203115921

很奇怪这里面footer变成空了,回页面去看:

image-20210108203144213

确实被包含了。

接下来就是包含日志来getshell。

首先要知道nginx的目录地址(翻一下我的日志采集小本本哈哈):

image-20210108203630126

就这个了吧。

那就随便访问一个输入参数

image-20210108204002981

我的妈呀这包含的头都没了哈哈。

接着用冰歇歇连。

image-20210108204311166

翻车。

image-20210108204540870

妈妈咪哟,这样传参还不行。太长了:

真是头痛的问题啊。写的太长莫法保证在日志当中是正确的php格式。

写个最短的。。连吧。

上蚁剑:

image-20210108205047489

可惜这样不免杀啊。

后头再去研究哈http里面的换行这些然后写入文件怎么样才能正确。

image-20210108205151963

一如既往需要提权呀。

image-20210108205217855

我为啥看到这版本就想用脏牛啊。不会吧不会吧。

image-20210108205351570

这好像不在啊。。

算了。。

查一下有没有使用root运行的二进制文件,后门就去看了眼wp了,实在不怎么会了;

find / -perm -u=s -type f 2>/dev/null

image-20210108205556204

带版本号的都是容易好搞得,接着上kali搜索:

image-20210108205723141

那就是这个呗。

image-20210108205903240

欸卧槽。

哎放kali的web路径用wget下载吧。

image-20210108210242326

然后就是下载了:

image-20210108210345667

这。。

我知道了。我还是去tmp目录下吧。

image-20210108210451736

哇轻松。

image-20210108210645285

恐怖片?

人都搞懵了,弹个shell去kali上面操作。

还是不存在,回头看一下sh内容发现里面根本不是可执行的命令,而是三部分。

image-20210108213416692

将其他的c分为两个文件进行gcc编译,再把原来的sh删除c语言部分,

/etc/init.d/apache2 restart

重启了把所有的全部wget上去:

image-20210108214231504

最后执行:

chmod +x ./41154.sh
./41154.sh