DC-8靶机渗透

1. namp
   

2. 80端口Drupal7
   

3. 发现url可能存在注入
   

4. 确认数字型注入存在
   

5. 简单一点上sqlmap
   
   

6. 找到users表
   

7. 获得密码
   

8. 将这两个hash在john爆破
   

9. 试了之后是john的密码，admin的密码没有爆出来，登陆
   

10. contact页面可以编辑
    

11. 注意红框部分，可以编辑php代码，试着反弹shell，（需要注意的是在php代码前面最好写一些字符，否则代码无法执行，不知道什么逻辑）
    

12. 这里其实是在用户提交表单时触发php代码。我们试着提交表单。事先要先监听本地端口。
    

13. 提交表单
    

14. shell已经连接
    

15. 提权前先跑一下脚本，看一些基本信息
    

16. sudo存在漏洞CVE-2019-14287
    
    试了一下权限挺高不过不知道密码。
    

17. SUID如下
    
    没有熟悉的。

18. 内核版本也确实没找到什么漏洞
    

19. 搞了一会确实没什么思路。看了大佬的wp。用到了CVE-2019-10149，再次注意到SUID。
    

20. 利用脚本
    https://www.exploit-db.com/exploits/46996
    此脚本有两种利用方式，
    20.1 setuid
    
    20.2 netcat
    

21. 使用netcat版本
    

22. 最后