DC系列靶机知识点总结

常用命令和工具：

metasploit nmap sqlmap 中国蚁剑 冰蝎 dirsearch dirbuster 等常用工具就不在此介绍了

whatweb是kali自带的一个信息搜集工具

数据库密码hash解密工具john

cewl是kali自带的一个密码字典生成工具

针对wordpress站点可以使用wpscan先爆破该网站的用户名

通过已经wpscan扫描到的用户名和cewl生成的密码字典可以对目标进行爆破登录

漏洞搜索：

python交互式shell

RCE反dshell的命令：

SSH服务相关命令

目标机器连接kali利用ssh将 exp下载到靶机上来

涉及到的提权方式：

**Tips：**拿到一个本地普通用户后，往往先要在该用户的家目录下搜索一番，以寻找有用的信息，提权的时候几乎所有的文件 *** 作都在tmp目录下，因为其他目录往往没有权限，所以要时刻注意自己当前所在的目录。

suid之find提权

sudo提权系列：

sudo之teehee提权（方法不唯一）

teehee命令可以对文件进行写入 *** 作，我们可以借此来提权

利用写入定时任务来提权

上面这条命令的意思是在/etc/crontab下写入定时计划，一分钟后由root用户给 /bin/bash 命令加权限（chmod 4777即开启suid和rwx权限），这样当我们再执行/bin/bash的时候就可以获得一个root权限的shell。除此之外还可以利用写入/etc/passwd文件添加一个有root权限的用户来提权。

sudo之nmap提权

我们使用 sudo -l命令发现我们可以不用密码就能以root权限运行nmap

然后我们可以利用nmap来提权

由于我们可以以root权限 运行nmap，然后我们让nmap去执行这个shell脚本，从而获取到一个root权限的shell。

脏牛提权

在phpmyadmin根目录下后面添加：

在fofa上搜索相应站点进行测试：

Trick：如何判断目录是否存在，往往确定了/var/www/html目录，但是还有一层目录不能 确定，可以采用目标域名+常用的网站根目录的方式进行爆破，当使用

不存在将会报错Can't create/write to file '/var/www/html/666.txt' (Errcode: 2)；

如果存在但是目录写不进去将返回(Errcode: 13)；

利用过程：

1、获取网站绝对路径

2、判断是否有读写权限：

版本5.5.53之前默认为空，之后的版本默认为null

这个值是只读变量，只能通过配置文件修改，且更改后需重启服务才生效

3、写入shell到网站根目录下

原理：MySQL5.0版本以上会创建日志文件，phpmyadmin有一个记录日志的文件，但是一般情况下会关闭。通过修改日志的全局变量，打开日志并指定日志保存路径，设置日志记录名称为.php

查询日志全局变量：

打开日志全局变量：

设置日志保存路径：

进行查询，使查询的语句写入日志文件中：

原理：只有当查询语句执行的时间要超过系统默认的时间时,该语句才会被记入进慢查询日志

启用慢查询日志（默认禁用）：

修改slow_query_log_file日志文件的绝对路径以及文件名：

慢查询时间值：

如果查询时间超过了这个时间值（默认为10秒），这个查询语句将被记录到慢查询日志中

通常情况下执行sql语句时的执行时间一般不会超过10s，所以说这个日志文件应该是比较小的，而且默认也是禁用状态，不会引起管理员的察觉。

向日志文件写入shell：

phpmyadmin反序列化漏洞任意文件读取（WooYun-2016-199433）

影响phpMyAdmin 2.x版本，poc如下：

CVE-2016-5734 RCE：

利用条件：

主要原因由于将用户输入的信息拼接进preg_replace函数第一个参数中，而在PHP5.4.7以前，preg_replace存在漏洞，可以0进行截断，并将正则模式修改为e，进而执行命令。

在Kali中有自带的EXP

具体请参考： https://www.jianshu.com/p/8e44cb1b5b5b

CVE-2018-12613文件包含:

利用条件：

满足以下5个条件:

判断是否存在漏洞经过二次编码绕过

/index.php?target=db_sql.php%253f/../../../../../../../../etc/passwd

然后在sql语句中执行一些语句记录到日志，然后在包含即可

SELECT '<?php phpinfo()?>'

查询phpmyadmin cookie值(开发者工具查看)

http://192.168.75.130:8080/index.php?target=db_sql.php%253f/../../../../../../tmp/sess_ff16b4962b5343089c8fcd4c58df53ba

CVE-2014 -8959：本地文件包含

利用条件：

POC:

在实际利用中可以利用写入文件到/tmp目录下结合此漏洞完成RCE，php版本可以通过http header、导出表内容到文件的附加内容看到。

CVE-2013-3238:

利用条件：

msf有相应的利用模块：

exploit/multi/http/phpmyadmin_preg_replace

CVE-2012-5159:

利用条件：

msf有相应的利用模块：

exploit/multi/http/phpmyadmin_3522_backdoor

CVE-2009-1151:

PhpMyAdmin配置文件/config/config.inc.php存在命令执行

利用条件：

msf有相应的利用模块：

exploit/unix/webapp/phpmyadmin_config

弱口令&万能密码:

弱口令：版本phpmyadmin2.11.9.2， 直接root用户登陆，无需密码

万能密码：版本2.11.3 / 2.11.4，用户名’localhost’@'@”则登录成功

phpMyAdmin渗透利用总结

phpMyAdmin 渗透利用总结

char exp[100] = ""sprintf(exp, "date -s \"%s %s\"", date, time)system(exp)调用linux系统命令来设置时间。

---