DC1-靶机

环境搭建

DC系列总共有6个靶机，本次靶机是DC-1 ，下载，靶机中一共有五个flag文件，我们需要找到它们，即完成任务。

将下载的ova文件导入VMware Workstation15（低版本不支持导入ova文件）

配置网络为nat模式（你需要知道你的靶机的IP网段，最好与kali攻击机处于同一网段）

靶机开机后是一个登陆页面，无法得知ip

 

环境 

kali：192.168.25.130

 

渗透

使用 nmap 扫描 192.168.25.0/24 网段存活主机

nmap -sP 192.168.25.0/24

 

简单分析可知，靶机ip为 192.168.25.129，使用nmap 扫描常用端口

nmap -sV 192.168.25.129

 

80端口开放，使用浏览器访问查看一下

 

典型的drupal，由于我们这里是老外搭建的靶机，所以就纯kali渗透即可，启动Metersploit

msfconsole

寻找关于 drupal 的模块

search drupal

 

用2018的测试

use           对应模块
show options  查看信息
set RHOST  远程主机ip
run           攻击

 

成功，shell，返回一个shell，用户权限为 www-data

 

使用python反弹一个交互式shell

python -c “import pty;pty.spawn('/bin/bash')”

 

进入home目录，发现flag4文件，提示需要提升权限

 

继续查找敏感文件，发现flag1.txt，内容提示寻找站点的配置文件

 

Drupal的默认配置文件为  /var/www/sites/default/settings.php，查看

 

发现了flag2和数据库的账号密码，flag2提示，提升权限为root来查看敏感文件，或者直接爆破

我们先进入数据库查看

 

直接查找默认的Drupal user 表，发现admin用户

 

置换drupal密码
参考链接：http://drupalchina.cn/node/2128

站点路径下执行
php scripts/password-hash.sh 新密码

 

在数据库中替换

 

在浏览器直接登录，发现flag3

flag3提示，提权并提示 -exec，想到suid提权 find 命令

使用命令查看 suid 权限的可执行二进制程序

find / -perm -4000 2>/dev/null

发现find命令

 

使用命令测试，发现为root权限

touch 666
find / -name 666 -exec "whoami" \;

在root 下发现flag文件

 

至此，完成渗透。此时我们查看  /etc/passwd  文件，发现存在 flag4 用户，我们也可以使用 hydra  进行爆破

-l 指定用户名
-P 加载密码字典（自定义)
ssh://ip 指定使用协议和ip地址

SSH连接登录

 

总结一下，DC-1还是比较容易的，主要是练习对工具的使用