导语
在之前的博客分享中我们介绍了DC1~4四个靶机的渗透测试,通过前四个靶机的渗透测试也掌握了在Kali中实现渗透测试相关工具的使用,下面我们来实践一下对于Vulnhub DC-5靶机的渗透测试,在DC-5靶机中全程也只有一个Flag,下面我们就来尝试获取这个Flag
第一步、下载并且导入DC-5靶机
我们可以从Vulnhub官网上找到DC-5靶机并下载导入到VMware虚拟机中,如下所示。
第二步、采集DC-5服务器信息
跟之前一样我们可以通过arp-scan -l命令去发现局域网中的目标IP。
根据上面的扫描结果,我们看到靶机的IP地址是192.168.1.149。我们可以通过namp工具来扫描主机开放端口情况。如下所示。
nmap -sV -p- 192.168.1.149
扫描结果如下所示。
看到在该靶机上,开放了80、111、36397等端口号,下面我们就来尝试访问一下80端口。会看到如下的内容
接下来就是常规操作通过dirsearch工具来扫描可以的目录,如下所示。
dirsearch -u http://192.168.1.149 -e*
结果如下所示
根据上面的结果,我们发现了一个很多的目录,并且经过测试发现/thankyou.php目录有着很大的问题,如下所示,当我们访问了http://192.168.1.149/thankyou.php路径之后,发现版权信息居然从2019变成了2017,并且这个页面也没有出现在任何的其他路径中。所以怀疑这个目录肯定有问题,经过不断地刷新之后,我们发现这个版权信息页面会随着页面刷新而发生新的变化,这是为什么?
接下来我们尝试通过爆破一下这个路径,当然这里只是个人的一个尝试方式,没想到是成功了,如下所示。
根据上面的结果我们发现了/thankyou.php/wp-content/plugins/wp-publication-archive/includes/openfile.php?file=这样的一个路径,访问该路径之后,结果如下所示。
然后我们尝试访问这个页面的超链接之后,发现了这些这些超链接的目录会直接拼接到上面的路径上。如下所示。
- http://192.168.1.149/thankyou.php/wp-content/plugins/wp-publication-archive/includes/index.php
- http://192.168.1.149/thankyou.php/wp-content/plugins/wp-publication-archive/includes/solutions.php
这个时候,我们尝试去缩减路径,然后慢慢会发现,这个一直到http://192.168.1.149/thankyou.php?file=路径下的时候当我们访问了http://192.168.1.149/thankyou.php?file=/操作的时候,页面内容发生了变化。版权信息没有了。这个时候我们就怀疑,可能存在一个file参数专门是在页面上用来完成获取版权信息请求的。
第三步、获取Shell
所以我们尝试访问一下如下的接口内容。http://192.168.1.149/thankyou.php?file=/etc/passwd
这里我们会看到,它拿到了/etc/passwd文件的信息,那么我们是不是可以尝试获取一下其他的文件内容呢?在刚刚进行目录探测的时候,我们发现了个这个站点用到了Nginx1.6.2这个版本。所以我们可以尝试通过Nginx进行渗透。
&emps; 在默认情况下Nginx的日志会被放到/var/log/nginx/error.log路径下,这样我们可以尝试访问一下这个路径会得到如下的结果。http://192.168.1.149/thankyou.php?file=/var/log/nginx/error.log