Vulnhub-dc5

靶场下载

https://download.vulnhub.com/dc/DC-5.zip

信息收集

# nmap -sn 192.168.1.0/24 -oN live.port
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-21 20:56 CST
Nmap scan report for 192.168.1.1 (192.168.1.1)
Host is up (0.00057s latency).
MAC Address: 00:50:56:C0:00:08 (VMware)
Nmap scan report for 0bcc61d9e6ea39148e78c7c68571e53 (192.168.1.2)
Host is up (0.00036s latency).
MAC Address: 00:50:56:FE:B1:6F (VMware)
Nmap scan report for 192.168.1.92 (192.168.1.92)
Host is up (0.00028s latency).
MAC Address: 00:0C:29:45:22:BD (VMware)
Nmap scan report for 192.168.1.254 (192.168.1.254)
Host is up (0.00021s latency).
MAC Address: 00:50:56:F3:42:A3 (VMware)
Nmap scan report for 192.168.1.60 (192.168.1.60)
Host is up.
Nmap done: 256 IP addresses (5 hosts up) scanned in 1.98 seconds

判断到存活主机的IP地址为192.168.1.92

# nmap -sT --min-rate 10000 -p- 192.168.1.92 -oN port.nmap 
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-21 20:56 CST
Nmap scan report for 192.168.1.92 (192.168.1.92)
Host is up (0.0037s latency).
Not shown: 65532 closed tcp ports (conn-refused)
PORT      STATE SERVICE
80/tcp    open  http
111/tcp   open  rpcbind
38242/tcp open  unknown
MAC Address: 00:0C:29:45:22:BD (VMware)

开放端口信息为80 111 38242 其中111端口是远程过程调用 探测一下UDP端口信息:

# nmap -sU --min-rate 10000 -p- 192.168.1.92 -oN UDP.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-21 20:58 CST
Warning: 192.168.1.92 giving up on port because retransmission cap hit (10).
Nmap scan report for 192.168.1.92 (192.168.1.92)
Host is up (0.00086s latency).
Not shown: 65455 open|filtered udp ports (no-response), 78 closed udp ports (port-unreach)
PORT      STATE SERVICE
111/udp   open  rpcbind
35126/udp open  unknown
MAC Address: 00:0C:29:45:22:BD (VMware)Nmap done: 1 IP address (1 host up) scanned in 72.80 seconds

UDP端口探测,会发现开放了两个端口:分别是111 端口和 35126端口!

# nmap -sT -sC -sV -O -p80,111,38242 192.168.1.92 -oN details.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-21 20:58 CST
Nmap scan report for 192.168.1.92 (192.168.1.92)
Host is up (0.00047s latency).PORT      STATE SERVICE VERSION
80/tcp    open  http    nginx 1.6.2
|_http-title: Welcome
|_http-server-header: nginx/1.6.2
111/tcp   open  rpcbind 2-4 (RPC #100000)
| rpcinfo: 
|   program version    port/proto  service
|   100000  2,3,4        111/tcp   rpcbind
|   100000  2,3,4        111/udp   rpcbind
|   100000  3,4          111/tcp6  rpcbind
|   100000  3,4          111/udp6  rpcbind
|   100024  1          35126/udp   status
|   100024  1          38242/tcp   status
|   100024  1          48330/tcp6  status
|_  100024  1          52887/udp6  status
38242/tcp open  status  1 (RPC #100024)
MAC Address: 00:0C:29:45:22:BD (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Aggressive OS guesses: Linux 3.2 - 4.9 (98%), Linux 3.10 - 4.11 (94%), Linux 3.13 (94%), OpenWrt Chaos Calmer 15.05 (Linux 3.18) or Designated Driver (Linux 4.1 or 4.4) (94%), Linux 4.10 (94%), Linux 3.2 - 3.16 (94%), Android 5.0 - 6.0.1 (Linux 3.4) (93%), Linux 3.2 - 3.10 (93%), Linux 4.2 (93%), Linux 3.13 - 3.16 (92%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 1 hop

端口详细信息探测,80端口上是nginx 1.6.2 剩下的两个端口便是rpc的相关服务

# nmap -sT --script=vuln -p80,111,35242 192.168.1.92 -oN vuln.nmap 
Starting Nmap 7.94 ( https://nmap.org ) at 2024-01-21 21:00 CST
Pre-scan script results:
| broadcast-avahi-dos: 
|   Discovered hosts:
|     224.0.0.251
|   After NULL UDP avahi packet DoS (CVE-2011-1002).
|_  Hosts are all up (not vulnerable).
Nmap scan report for 192.168.1.92 (192.168.1.92)
Host is up (0.00034s latency).PORT      STATE  SERVICE
80/tcp    open   http
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
| http-csrf: 
| Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=192.168.1.92
|   Found the following possible CSRF vulnerabilities: 
|     
|     Path: http://192.168.1.92:80/contact.php
|     Form id: fname
|_    Form action: thankyou.php
|_http-dombased-xss: Couldn't find any DOM based XSS.
111/tcp   open   rpcbind
35242/tcp closed unknown
MAC Address: 00:0C:29:45:22:BD (VMware)

默认漏洞脚本信息的探测结果没什么价值信息,csrf漏洞在我们渗透测试过程中,难以利用;这里还是先在80端口上寻找突破点!

渗透测试

访问80端口上的服务:

发现了存在几个功能点,分别是home solutions about us FAQ Contact!

contact页面可以提交相关信息!尝试随便提交数据:

上面的URL发生了变化;页面上的内容也不是英语,不知道什么语言~ 做一下例行的目录扫描:

目录扫描的结果还是上面的几个文件!多了一个footer文件:

这里发现这个文件的内容一直在变化!

刷新就会不一样了。前面的页面底部都是存在这个footer的!但是这里我并不知道他是怎么去进行的包含;看了大佬们的wp,也没说明白为什么参数是file,而且前面其他的页面也是存在这个下标的,我其实不理解是怎么一步步测出来的~

他是通过file这个参数去包含footer.php文件的,从而thankyou.php文件中的内容会出现这个footer下标!既然这里包含了footer.php文件,那么就可能存在任意文件包含漏洞!

尝试修改为file=/etc/passwd

这里可以看到文件包含成功了!那么我们可以尝试去包含ngnix的日志文件! 尝试包含日志文件/var/log/nginx/access.log的时候,弹窗了;

不知道具体原因是什么? 是出错了吗? 再换一个文件包含:

/var/log/nginx/error.log

没问题,可以包含成功!可以看到错误日志中 我们的请求是记录在了里面,那么我们就可以写马到错误日志中了!

尝试直接将反弹shell写进去!尝试起监听,在访问错误日志进行包含!但是没执行成功:

写进去了,但是没执行成功~ 直接扔上一句话木马:

还是没能成功执行,修改一下:

<?php @eval($_POST['x']);?>

最终是执行成功了!直接exec反弹shell应该可以了吧:还是不行 好奇怪这里,直接上蚁剑!

连接成功了!这里我还是不想动用msf上传木马,还是上传一个php反弹shell的代码上去吧:

写好代码之后,尝试上传,但是蚁剑上传失败;于是攻击机起简单的http服务,利用命令行进行下载:

但是当前目录下没有权限!cd到tmp目录下,再次尝试:

下载下来之后,赋予执行权限!发现执行的时候,并没有成功,回去一看文件居然还是空文件~

先看看etc/passwd文件,里面存在几个活跃的用户!

发现了存在一个用户是dc!

提权

做提权准备吧;直接生成msf的木马,利用wget上传到靶机上,从而执行!

给与执行的权限:

启动msf,然后配置好监听!

确定目标的靶机就是我们的目标:

有python!准备利用python提升shell的交互性!

查看计划:

没有计划任务,查看一下suid文件:

暂时没发现有什么可以利用的,多个文件都没见过,不知能否进行利用~

内核版本比较低,可以尝试内核提权~ searchsploit进行搜索,定位到如下的两个exp,先来尝试一下:

但是两个exp全部执行失败了~ 这里上传了linpeas进行提权的信息枚举:

尝试一下脏牛吧!上传exp,进行编译https://github.com/FireFart/dirtycow

执行:

但是我接下来去查看/etc/passwd文件的内容的时候,并没有发现创建用户成功:

还是失败了。看了下mysql也不是root起的;于是乎看了wp~ 这里涉及到了一个自己没见过的suid文件提权!回到suid文件上:

利用searchsploit进行搜索:

存在本地权限提升漏洞!下载下来之后:

需要创建两个文件:libhax.c

然后按照他的要求进行编译,分别生成libhax.so rootshell 再上传到靶机:

之后创建启动脚本:

将三个文件全部进行上传:

这里比较乱了,因为尝试了很多种方式去提权;赋予执行权限!

然后执行脚本!但是我这里出现了报错,缺少GLIBC_2.34这个库!我怀疑是我的kali版本过高导致的!因此我们可以直接上传libhax.c 和 rootshell.c两个脚本到靶标!在靶标上执行编译操作!这里是我的想法,不知道对不对~ 或者是降低kali的版本?用和靶机差不多的环境进行编译?

因此这个靶机完成的不到位~ 最终没能实现提权!看了网上的大佬们的提权是这样做的,之前我遇到过这种情况,应该上面的两种解决方法是可行的。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/644773.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

《统计学习方法:李航》笔记 从原理到实现(基于python)-- 第1章 统计学习方法概论

文章目录 第1章 统计学习方法概论1.1 统计学习1&#xff0e;统计学习的特点2&#xff0e;统计学习的对象3&#xff0e;统计学习的目的4&#xff0e;统计学习的方法1.2.1 基本概念1.2.2 问题的形式化 1.3 统计学习三要素1.3.1 模型1.3.2 策略1.3.3 算法 1.4 模型评估与模型选择1…

零基础学Python(5)— 基本数据类型

前言&#xff1a;Hello大家好&#xff0c;我是小哥谈。在内存中存储的数据可以有多种类型。例如&#xff1a;一个人的姓名可以用字符型存储&#xff0c;年龄可以使用数值型存储&#xff0c;婚姻状况可以使用布尔型存储。这里的字符型、数值型、布尔型都是Python语言中提供的基本…

WorkPlus打造高效协作的即时通讯工具,提升工作效率

在当今互联网时代&#xff0c;高效沟通和协作是企业成功的关键要素。而即时通讯成为了实现快速沟通和实时协作的利器。作为一款领先的即时通讯工具&#xff0c;WorkPlus以其卓越的性能和独特的功能&#xff0c;助力企业实现高效的沟通和协作。 为什么选择WorkPlus作为即时通讯…

HCIP 交换

拓扑图&IP划分如下&#xff1a; 第一步&#xff0c;配制VLAN LSW1&#xff0c;LSW2&LSW3同理 检测 LSW1 LSW2 测试

2024年学鸿蒙开发有前途吗?

随着科技的不断发展和智能设备的普及&#xff0c;鸿蒙系统作为华为自主研发的操作系统&#xff0c;正逐渐受到市场的关注。2024年&#xff0c;学鸿蒙开发是否有前途&#xff0c;成为了很多开发者和学生关心的问题。本文将从多个角度分析鸿蒙系统的发展前景&#xff0c;以及学习…

【昕宝爸爸小模块】深入浅出之为什么POI的SXSSFWorkbook占用内存更小

➡️博客首页 https://blog.csdn.net/Java_Yangxiaoyuan 欢迎优秀的你&#x1f44d;点赞、&#x1f5c2;️收藏、加❤️关注哦。 本文章CSDN首发&#xff0c;欢迎转载&#xff0c;要注明出处哦&#xff01; 先感谢优秀的你能认真的看完本文&…

初识SpringBoot

SpringBoot以约定大于配置的核心思想,默认帮我们进行了很多设置,简单来说就是SpringBoot其实不是什么新的框架&#xff0c;它默认配置了很多框架的使用方式&#xff0c;就像maven整合了所有的jar包&#xff0c;spring boot整合了所有的框架 。 创建的包一定要在项目主程序入口…

容联七陌x新飞电器|升级高效智能客服,实现满意度跃升新台阶

随着电商兴起&#xff0c;电器行业深入到各大电子商务平台&#xff0c;订单量、咨询量也随之增长&#xff0c;对及时响应、准确回答、高效解决、提高服务品质等需求逐渐增加。 新飞电器选择了与容联七陌合作企业版在线客服产品&#xff0c;共同打造高效、便捷、个性化的优质客…

手把手教你使用MDK仿真调试

当今的嵌入式系统开发领域中&#xff0c;高效的调试工具对于工程师来说至关重要。它们能够极大地减少开发周期中的错误追踪时间&#xff0c;并加速产品的上市时间。MDK作为业界领先的嵌入式开发工具之一&#xff0c;其内置的调试功能被广大开发者所赞誉。这些功能不仅提供了对代…

学术研究的策略与方法——从自身经验谈起

人生短短几十载&#xff0c;别让难过占一半 让导师喜欢和抓狂的学生 让导师喜欢的学生 积极主动、乐观向上 常跟导师汇报进展、讨论问题,主动push导师主动承担实验室的项目、课题、任务等 思维敏捷、有自己的想法见解&#xff0c;充满好奇 遇到问题主动寻求解决办法、提出解决…

分享一个剧本(改编自我)

不知道是不是错过了一个喜欢我的女孩&#xff0c;一个很不错的女孩&#xff0c;当初没勇气表白。去年表白过但女孩表示仅想是永远的朋友&#xff0c;今天翻他的朋友圈发现2021年我生日时&#xff0c;她分享了这首歌曲&#xff0c;还评论Best wishes!!!&#xff0c;高中有一次我…

学单片机前先学什么?

学单片机前先学什么&#xff1f; 在开始前我有一些资料&#xff0c;是我根据网友给的问题精心整理了一份「单片机的资料从专业入门到高级教程」&#xff0c; 点个关注在评论区回复“888”之后私信回复“888”&#xff0c;全部无偿共享给大家&#xff01;&#xff01;&#xff…

微信小程序从入门到进阶(二)

数据请求 wx.request发起网络请求&#xff0c;请求的方式主要分为两种&#xff1a; get 请求 post 请求 // get请求 // html <view><button type"primary" bindtap"onGetClick">发起 get 请求</button> </view> // js // inde…

一个简单的ETCD GUI工具

使用ETCD没有好用的GUI工具&#xff0c;随手用c#写了一个&#xff0c; 做得好玩的一个ETCD GUI工具&#xff0c;后面加上CLI 工具&#xff0c;类似于 redis Cli工具一样&#xff0c;简化在 Linux下面的操作&#xff0c;不知道有没有必要&#xff0c; git 地址如下&#xff0c;…

【制作100个unity游戏之23】实现类似七日杀、森林一样的生存游戏1(附项目源码)

本篇最终效果演示 文章目录 本篇最终效果演示系列目录前言环境素材绘制地形 实现人物移动指示显示物品名称源码完结 系列目录 【制作100个unity游戏之23】实现类似七日杀、森林一样的生存游戏1&#xff08;附项目源码&#xff09; 【制作100个unity游戏之23】实现类似七日杀、森…

面向对象、封装、继承、多态、JavaBean

二、面向对象 什么是对象 什么是对象&#xff1f;之前我们讲过&#xff0c;对象就是计算机中的虚拟物体。例如 System.out&#xff0c;System.in 等等。然而&#xff0c;要开发自己的应用程序&#xff0c;只有这些现成的对象还远远不够。需要我们自己来创建新的对象。 1. 抽…

鸿蒙开发 状态管理

最近学习鸿蒙开发。 状态管理&#xff1a; State -> Prop 单向传递&#xff1b; stateprop: State -> Prop 单向传递 State -> Link 双向传递&#xff1b;

数据的存储结构

1.类别 顺序存储、链式存储、散列存储、索引存储 2.顺序存储与链式存储的区别 顺序存储链式存储优点 可以实现随机存取每个元素占用最少的空间 充分利用所有存储单元&#xff0c;不会出现碎片现象。缺点 只能使用整块的存储单元&#xff0c;会产出较多的碎片。 需要额外的存…

面试题-【消息队列】

消息队列 问题1 如何进行消息队列的技术选型优点解耦 &#xff08;pub/sub模型&#xff09;异步&#xff08;异步接口性能优化&#xff09;削峰 使用消息队列的缺点几种消息队列的特性 问题2 引入消息队列之后该如何保证其高可用性RabbitMQ的高可用kafka高可用 问题3 在消息队列…

HCIP-BGP实验4

搭建实验拓扑图 要求 1.全网可达 2.isp只能配置IP地址 实验开始 配置IP地址及环回 r1,r2,r9,r10配ipv4地址(以r1为例) [Huawei]sysname r1 [r1]interface g0/0/0 [r1-GigabitEthernet0/0/0]ip address 12.1.1.1 24 [r1-GigabitEthernet0/0/0]q [r1]interface LoopBack 0…