渗透练习 DC-1靶机
导出的pdf下载即可
复现SLR大哥的DC-1 靶机
DC-1 安装
- VM打开DC-1.ova[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Ql3Hejjo-1616384019419)(D:\软件安全下载目录\Typora\image-20210322090613125.png)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IFTGOE3g-1616384019424)(D:\软件安全下载目录\Typora\image-20210322090713013.png)]
- 通过kali查看本机所在网段[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wQVEs3xY-1616384019426)(D:\软件安全下载目录\Typora\image-20210322090902210.png)]
- kali和DC-1在192.168.135.0/24网段,使用nmap扫描此网段的其他主机[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qqCt7q3A-1616384019428)(D:\软件安全下载目录\Typora\image-20210322091213646.png)]
- 扫描到四个存活的主机,三个是Vmware中的,135为kali的IP,[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-A6xQu1Lw-1616384019429)(D:\软件安全下载目录\Typora\image-20210322092422669.png)]
- 直接用浏览器访问剩下的两个IP,发现有一个界面如上图,即为DC-1 的IP。
- 对192.168.124.136进行端口扫描,[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MW0K5R6d-1616384019430)(D:\软件安全下载目录\Typora\image-20210322094044248.png)]有四个端口开启,并且80的http端口下存在robot.txt,直接访问。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tmPvKELu-1616384019432)(D:\软件安全下载目录\Typora\image-20210322095111664.png)]发现里面只有一些版本信息,安装许可等许可文件,并没有其他的有用信息。
漏洞检测
使用msfconsole扫描网站目录
- [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-JtpaKB93-1616384019433)(D:\软件安全下载目录\Typora\image-20210322095743592.png)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-azWxDzYc-1616384019434)(D:\软件安全下载目录\Typora\image-20210322100323841.png)]扫描结果都是403和200的页面。
在msfconsole中查询并尝试针对Drupal的工具。因为从初始界面的(Powered by Drupal)可以知道这个网页是基于Drupal 的CMS框架。所以针对性的找drupal 的工具
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nVWe9UQv-1616384019435)(D:\软件安全下载目录\Typora\image-20210322101020325.png)]出现这些可用的工具。
尝试这些工具。
drupal_openid_xxe(open ID外部实体注入)
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Jo19pt55-1616384019435)(D:\软件安全下载目录\Typora\image-20210322101318545.png)]发现并没有什么
drupal_views_user_enum(用户枚举工具)
也没发现什么。
exploit/multi/http/drupal_drupageddon
,这是一个sql注入工具。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DHQW9Yvd-1616384019436)(D:\软件安全下载目录\Typora\image-20210322102310162.png)]成功了,并ls当前目录。发现flag1.txt,打开,找到第一个flag[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tY25KdyQ-1616384019437)(D:\软件安全下载目录\Typora\image-20210322102519028.png)]
flag1的提示是查看配置文件。百度得知drupal的配置文件在sites/default/settings.php[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HjAbRgfx-1616384019437)(D:\软件安全下载目录\Typora\image-20210322103129342.png)]进入相关目录找到settings.php
查看php发现以下信息[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zPInqRHN-1616384019438)(D:\软件安全下载目录\Typora\image-20210322104406330.png)]有flag2和mysql的一组用户名和口令。所以提示我们进数据库。
数据库操作
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-B0RX4Jmb-1616384019439)(D:\软件安全下载目录\Typora\image-20210322105010329.png)]通过靶机的shell开启交互模式
通过之前给的mysql提示进入数据库
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6Atvjuv9-1616384019439)(D:\软件安全下载目录\Typora\image-20210322105341779.png)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EXvYV97q-1616384019440)(D:\软件安全下载目录\Typora\image-20210322105646817.png)]查看数据库中的tables。其中有users和users_roles两个表格。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Xcu67cRn-1616384019442)(D:\软件安全下载目录\Typora\image-20210322105833612.png)]
users表中有用户名和口令,但是口令是加密的。通过百度Drupal中truple的加密脚本,可以知道加密脚本为./script/password-hash.sh。既然不能从密文推明文,那就自己加密后修改user的密文。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CDbRNyjE-1616384019444)(D:\软件安全下载目录\Typora\image-20210322110926374.png)]密文:SSSD/GxBMUVoGpQA1R0Dw6tCWwxjsPQu46nqZMENc/ALOuOAYB9glES
mysql -udbuser -pR0ck3t
use drupaldb
update users set pass=SSSD/GxBMUVoGpQA1R0Dw6tCWwxjsPQu46nqZMENc/ALOuOAYB9glES where uid=1;
select * from users\G;[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SBZDQHYv-1616384019445)(D:\软件安全下载目录\Typora\image-20210322111505351.png)]更新完成
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-INpU1HYG-1616384019446)(D:\软件安全下载目录\Typora\image-20210322111654260.png)]登录进去。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PsxiEmAI-1616384019447)(D:\软件安全下载目录\Typora\image-20210322111731279.png)]找到flag3的信息。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-w7IWxHSs-1616384019449)(D:\软件安全下载目录\Typora\image-20210322112140361.png)]flag3 提示我们需要提权。
博主说看到了shadow,立即想到了/etc/passwd(我不行,,,)
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-iUAvPXvi-1616384019450)(D:\软件安全下载目录\Typora\image-20210322112411576.png)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pP7FzrwD-1616384019451)(D:\软件安全下载目录\Typora\image-20210322112430249.png)]得到了flag4的目录位置,直接查看。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-n6wTuSi5-1616384019452)(D:\软件安全下载目录\Typora\image-20210322112633912.png)]
按权限查找文件
-perm:按照权限查找
-type:查是块设备b、目录d、字符设备c、管道p、符号链接l、普通文件f
-u=s:拥有者是s权限
S权限:设置使文件在执行阶段具有文件所有者的权限,相当于临时拥有文件所有者的身份. 典型的文件是passwd. 如果一般用户执行该文件, 则在执行过程中, 该文件可以获得root权限, 从而可以更改用户的密码。
————————————————
版权声明:本文为CSDN博主「Lirong Sun」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_43980115/article/details/115051573随便
使用find命令提升权限
- 随便find一个内容,而-exec可以作为find的一个选项执行命令。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wFHZBVFB-1616384019452)(D:\软件安全下载目录\Typora\image-20210322113055518.png)]成功进入root目录,并发现flag的txt,查看即可。
渗透练习 DC-1靶机相关推荐
- 渗透测试 ( 2 ) --- 渗透测试系统、靶机、GoogleHacking、kali工具
操作系统:https://zhuanlan.zhihu.com/p/162865015 1.基于 Windows.Linux.Android 的渗透测试系统 1.1 基于 Linux 的系统 Kali ...
- DC系列靶机DC-1
1,主机发现 1),nmap -sP 192.168.44.0/24 对当前网段内存活的主机进行扫描. 2),主机发现也可以使用 netdiscover -i eth0 -r 192.168.44.0 ...
- 渗透测试学习之靶机DC-2
1.下载靶机 本篇文章是DC靶机系列的第二个篇,针对DC-2,建议感兴趣的读者从DC-1开始练习((26条消息) 渗透测试学习之靶机DC-1_xdbzdgx的博客-CSDN博客). DC-2的下载地址 ...
- 内网渗透之CFS三层靶机搭建
前言 作者简介:不知名白帽,网络安全学习者. 博客主页:https://blog.csdn.net/m0_63127854?type=blog 内网渗透专栏:https://blog.csdn.net ...
- 渗透测试学习之靶机DC-6
1.下载靶机 本篇文章是DC靶机系列的第6篇,针对的是靶机DC-6,建议感兴趣的读者从DC-1开始练习,详细内容可以看我之前的文章. DC-6的下载地址为DC: 6 ~ VulnHub.下载后解压为. ...
- 渗透测试之CFS三层靶机内网渗透
一.环境搭建: 靶机拓扑: 1.添加虚拟网卡: 添加 22网段(VMnet2) 和 33(VMnet3)网段的网卡 VMnet8为NAT模式与外部通信 2.配置网卡: target1网络配置: tar ...
- 内网渗透代理知识以及渗透某CTF三层靶机实例
在学习完小迪内网代理安全知识后,自己也找来了案例中的CTF比赛中三层靶机,来总结一下内网代理知识.实验中成功拿到三个flag,话不多说,现在就开始. 文章目录 前言 一.内网代理知识 二.CTF三层靶 ...
- 【渗透测试】SolidState靶机渗透练习_rbash逃逸+4555端口james服务漏洞
一.信息收集: arp-scan -l nmap -sS -sV -T5 -p- 192.168.225.190 dirb http://192.168.225.190 //无有效目录 2.根据端口扫 ...
- 看完这篇 教你玩转渗透测试靶机vulnhub——DC9
Vulnhub靶机DC9渗透测试详解 Vulnhub靶机介绍: Vulnhub靶机下载: Vulnhub靶机安装: Vulnhub靶机漏洞详解: ①:信息收集: ②:SQL注入: ③:文件包含: ④: ...
- DC-2渗透靶机详解
萌新DC系列靶机渗透详解之DC-2 DC-1 结束之后开始 DC-2 的内容 1. 明确目标 目标肯定还是不变的嘛,还是找齐里面所有的 flag 根据每个 flag 的提示找到下一个 flag 2. ...
最新文章
- Acwing104. 货仓选址:贪心(绝对值不等式)
- linux查看某端口进程占用,Linux下查看某端口占用进程
- 第8篇:Flowable快速工作流脚手架Jsite_请假实战_查看历史任务
- 最大同性恋交友网站被微软收购,我不服!
- 关于静态成员变量的谈论
- vue后台如何刷新过期的token_Vue刷新token,判断token是否过期
- HIMSS博览会首登中国 建言医卫IT新发展
- URGENT/11 白皮书笔记——远程危害VxWorks的关键漏洞6.9.3及以上
- java中的线程模型_Java 线程模型
- 简易租赁合同(免费)
- byte(字节)根据长度转成kb(千字节)和mb(兆字节)
- 生则决定生,去则实不去
- 如今,我们为什么很难看到高质量的文章?
- el-table-column 内容不自动换行
- BuildAdmin后台管理系统配置QQ邮箱
- 处理器最新排行_鲁大师Q2季度PC硬件排行:Intel十代酷睿初入战局,最受欢迎CPU是它...
- 人工智能助力危化品企业生产安全
- 爬虫_app 4 app数据抓取入门
- 2022-2028全球食品级柠檬酸镁行业调研及趋势分析报告
- sublime text c语言开发环境插件集合
热门文章
- 阿里推崇的大中台、小前台,什么是中台,什么是平台,有什么区别
- 红米k30 允许调用gpu调试层_红米击败自家小米,夺得性能榜第四,红米K30 Pro究竟靠什么?...
- html5 游戏 限制,HTML5新技术让游戏解决了三个大问题
- 在 CSDN 博客 100 天技术日更的 Flag,我做到了!
- web 基础练习/设计专业课程导航(7)
- You're a brave boy!
- 组合逻辑电路一——数字逻辑实验
- nib but the view outlet was not set 错误的解决办法。
- archetype-catalog.xml
- Yahoo Programming Contest 2019 D-Ears