[vulnhub 靶机通关篇] 渗透测试综合靶场 DC-5 通关详解 (附靶机搭建教程)_vulnhub 靶场 hello?payload=111-CSDN 博客 文章浏览阅读 2.9k 次,点赞 9 次,收藏 20 次。[ vulnhub 靶机通关篇 ] 渗透测试综合靶场 DC-5 通关详解 (附靶机搭建教程) 从信息收集到拿到低权限,最后提权获取最高权限,详细解读_vulnhub 靶场 hello?payload=111 https://blog.csdn.net/qq_51577576/article/details/129972333
DC-5 靶机渗透测试详细教程 - CSDN 博客 文章浏览阅读 7.5k 次,点赞 5 次,收藏 24 次。DC-5 靶机渗透测试详细教程_dc-5 https://blog.csdn.net/qq_34028816/article/details/124572718
导入 DC5 靶机后 网络适配器选择为 NAT 使其在同一网段内攻击再使用命令探测同网段就得出了靶机 IP
1 | arp-scan -l |
端口扫描一个 80 还有一个 111 端口开放并且运行着 rpcinfo 服务, 111 端口 上的 RPC (远程过程调用)服务是一种网络服务,它允许一个程序(客户端)通过网络向另一个程序(服务器)请求服务,而无需了解底层网络技术的 (有点像容器一样一个本体然后多个挂载服务连接)
1 | # 全端口综合扫描 |
指纹识别感觉也没什么东西就没扫, dirb 爆破没有 dirsearch 工具强力一样 后者扫出来了一个目录并且每次刷新时间上还会不断变化时间
1 | dirsearch -u http://192.168.111.141 |
还有一个这个路径他刷新也会是页面时间改变,我也猜测会是这个 thankyou.php 包含了 footer 这个文件所有它刷新 footer.php 值也会改变
1 | http://192.168.111.141/thankyou.php |
前期这几步操作得到文件读取 etc/passwd [1] 还需要爆破参数还有路径没有这么简单,不过确实根据目录爆破得到的 footer.php 才发现了存在文件包含,里面是有一个参数包含了文件,那么替换为其他的路径就可以读取到其他的文件了吗,具体的步骤在上面有题解链接
1 | http://192.168.111.141/thankyou.php?file=/etc/passwd |
利用文件包含写入一句话木马,然后通过它的服务器是 Nginx 找到对应版本的日志文章,因为每支持一个东西相当于就是一段日志文件,那么执行一句话密码的读取也就是把一句话木马作为了日志保存到了 Nginx 日志中再通过远控蚁剑连接,我开启 BP 抓包 写入一句话
离谱日志访问不了 只是空白页面 马子也写不过去,正常情况下写木马然后因为指纹识别包括之前的端口扫描看到了 Nginx 服务的版本号在根据版本好找到对应的日志文件路径,此靶场是 Nginx1.6.2 所以日志文件
/var/log/nginx/error.log 通过文件读取日志看到了一句话木马的日志的路径再上蚁剑连接就可以
1 | http://192.168.111.141/thankyou.php?file=/var/log/nginx/error.log |
在蚁剑上进行 nc 反弹监听到攻击机,然后提权尝试了 SUID 提权,找到了 GNU Screen 开始在漏洞库找历史漏洞利用,利用方式在题解中 按照步骤把提权的文件上传到网站下面然后执行就可以提升到 root 从而得到 flag 可惜了没有完成不知道为什么读不到日志导致连接不上
1 | nc -lvp 5555 # 监听 |
如果 账户后面是明文的话就可以尝试登录,但通常密码是用 x 代替,实际的密码是存放在 /etc/shadow ↩︎
