VulnHub DC-8 靶机渗透测试中，如何找到并利用特定漏洞进行攻击？

VulnHub DC-8 靶机渗透测试笔记 靶机信息 靶机名称：DC-8 靶机来源：VulnHub 目标：获取 root 权限，找到最终 flag 难度：⭐⭐⭐⭐☆（中等偏难） 涉及技术：信息收集、SQL注入、hashcat 哈希破解、PHP 反弹 Shell、Exim4 SUID 提权 一、信息收集 1.1 主机发现 ifconfig nmap -sn 192.168.168.0/24 1.2 端口与服务扫描 nmap -A -p- 192.168.168.169 依旧输入 IP 跳域名，Kali 和本机都改一下 hosts： # Kali echo "192.168.168.169 wordy" >> /etc/hosts # Windows # C:\Windows\System32\drivers\etc\hosts # 添加：192.168.168.169 wordy 依旧老 CMS： 1.3 目录扫描 dirsearch -u http://wordy -x 404,403 -x 404,403 的作用是排除「页面不存在」和「禁止访问」的结果，让输出更干净，不然一堆无用信息。 找到后台登录界面：http://wordy/user 二、SQL 注入 2.1 发现注入点 找到一个有输入框的地方： 测了几个地方，这几个按钮的 URL 地址是： http://wordy/?nid=1 http://wordy/?nid=2 http://wordy/?nid=3 尝试在参数后加单引号测试： http://wordy/?nid=3' 报错了！说明可能存在 SQL 注入： 判断注入的最简单方式： 加单引号 ' 看是否报错，报错基本就是有注入点。 2.2 sqlmap 跑注入 sqlmap -u "http://wordy/?nid=3" --dbs 跑出来了，继续找数据库里的账号密码： 三、哈希破解 在线的 cmd5 解密找不到，自己爆破一下试试： 先确认哈希类型，查询 hashcat 哈希表： 参考：https://hashcat.net/wiki/doku.php?id=example_hashes hashcat -m 7900 passwords.txt rockyou.txt -m 7900 对应的是 Drupal7 的哈希类型，不同 CMS 用的哈希算法不一样，要先确认类型再选对应的模式号。 破解出来了一个： john / turtle 四、登录后台 GetShell 4.1 登录后台 4.2 发现 PHP 富文本功能 找到一个 PHP 富文本功能，可以直接写 PHP 代码： 先用 <?php phpinfo();?> 测试是否能执行： 需要先提交 能执行！说明可以写反弹 Shell。