[渗透测试篇]Vulnhub之DC-1靶机从入门到入坑
0x01 前言
这是我第一次真正开始接触渗透测试的靶场,因为之前见过DC系列的靶机,于是我就决定以DC系列的靶机开始入门渗透测试,尽管目前都是基于大佬们的文章进行复现,但这并没有使我的兴趣有丝毫减少!
DC-1
![[渗透测试篇]Vulnhub之DC-1靶机从入门到入坑_第1张图片](http://img.e-com-net.com/image/info8/51042fafedac4bb395661680808dee0a.jpg)
实验环境
攻击机:kali
目标机:DC-1
涉及工具
- Netdiscover
- Droopescan
- Searchsploit
- MetaSploit
0x02 渗透思路
思路1:
1.找到IP地址(netdiscover)
2.收集靶机信息(nmap+droopescan+searchsploit)
3.利用已知漏洞进行测试(metasploit)
4.提权(参考的g0tmi1k大佬的getshell文章)
5.找到thefinalflag.txt
思路2(今天不做验证):
1.找到IP地址(arpscan)
2.信息收集(nmap+google)
3.查找利用点(metasploit)
4.利用(meterpreter)
5.flag1.txt->flag2.txt->flag3.txt->flag4.txt
6.找到thefinalflag.txt
渗透姿势(思路1)
这里的实验姿势是按照思路1来进行的:
1 netdiscover
首先用netdiscover工具找到目标IP地址
![[渗透测试篇]Vulnhub之DC-1靶机从入门到入坑_第2张图片](http://img.e-com-net.com/image/info8/75b7d633e77f47e7895e70f79ce7e1bc.jpg)
2.1 Nmap
在得到目标IP地址后,对目标进行信息收集,直接上nmap
kali:@kali2019:/# nmap -sC -sV 192.168.43.152
#-sC:可以指定脚本参数,这里采用的是default模式
#-sV:可以在进行端口扫描的时候检测服务端软件的版本信息。
#版本信息将使后续的漏 洞识别工作更有针对性。
![[渗透测试篇]Vulnhub之DC-1靶机从入门到入坑_第3张图片](http://img.e-com-net.com/image/info8/7d008ceff36840bea58a7f15fe619e5c.jpg)
在nmap的扫描结果中,得到以下信息:
- 80端口 www服务
- 22端口 ssh
- 站点使用的了 Drupal CMS 版本为 v7
2.2 Droopescan
这步开始对上一步nmap收集到的信息进行测试,因为之前对80端口和22端口的渗透姿势有过了解,所以今天换种食用方式 从站点上的Drupal入手.
需要工具droopesacn获取地址
以下有它的简介,可以了解一下:
![[渗透测试篇]Vulnhub之DC-1靶机从入门到入坑_第4张图片](http://img.e-com-net.com/image/info8/429c0adb5f0c4bc29b91f4b0495bc5b3.jpg)
用以下命令对Drupal进行探测识别:
kali:@kali2019:/# droopescan scan drupal -u http://192.168.0.185/
感觉有点慢,可能是因为我我这网络不太好,两三分钟后得到了以下信息:
![[渗透测试篇]Vulnhub之DC-1靶机从入门到入坑_第5张图片](http://img.e-com-net.com/image/info8/7e9d6a575b7240a0a3e2a01820088ae6.jpg)
从探测结果中我们获取到很有用的信息:
- 有登录框(常用:弱口令/爆破)
- 后端脚本语言 PHP
- drupal的版本号, 7.22 ~ 7.26
2.3 Searchsploit
在上一步中droopescan工具的辅助下,我们拿到建站服务Drupal的版本,可以用kali自带的工具Searchsploit 看看有没有现成的exp:
kali:@kali2019:/# searchsploit drupal 7
![[渗透测试篇]Vulnhub之DC-1靶机从入门到入坑_第6张图片](http://img.e-com-net.com/image/info8/5c473f825ab14311bce6338e2e43ddd8.jpg)
在上面查找结果中发现了可以利用的漏洞
Drupal Drupalgeddon Forms API Property Injection
想深入的请移步这里CVE-2018-7600漏洞详情
3 Metasploit
既然找到了能利用的exp,去msf中看看有没有对应的模块
msf > search Drupalgeddon
然后设定靶机IP,尝试getshell
![[渗透测试篇]Vulnhub之DC-1靶机从入门到入坑_第7张图片](http://img.e-com-net.com/image/info8/e3c727a7979044e78e25f9dc34f3ec8f.jpg)
4 getshell(meterpreter)
到了这一步,我们已经成功的与靶机创建了Meterpreter会话,但是在获取交互式shell的时候发现有限制,于是只好求助我的便宜师傅(Google)了,最终找到了g0tmi1k大佬关于Linux提权的文章,先收藏起来,今天只针对这个实验进行定向了解.
g0tmi1k的博客
当前目标是获取交互式shell,以下这条命令可以帮助我们:
![[渗透测试篇]Vulnhub之DC-1靶机从入门到入坑_第8张图片](http://img.e-com-net.com/image/info8/77f62c1da12044fc82a92eee226c1202.jpg)
python -c 'import pty;pty.spawn("/bin/bash")'
![[渗透测试篇]Vulnhub之DC-1靶机从入门到入坑_第9张图片](http://img.e-com-net.com/image/info8/65e3adfd797b490b9bc507ac800fadbd.jpg)
获得交互式shell成功,还记得题目中说的thefinalflag.txt在root的home目录下,先来看看都有home目录下都有哪些文件:
www-data@DC-1:/var/www$ find /root
![[渗透测试篇]Vulnhub之DC-1靶机从入门到入坑_第10张图片](http://img.e-com-net.com/image/info8/bf8eac86ef1643a39d66758be539b2d1.jpg)
看来题目简介确实没有骗我们, thefinalflag.txt就在眼前,啥也不管了,先来cat一波:
www-data@DC-1:/var/www$ cat /root.thefinalflag.txt
哦豁,读取失败.
只好换种姿势了(开始懵逼)
以下操作全是参考大佬的文章进行,毫无灵魂地复现
暂且先拿下靶机,至于关于原理的学习,等后面正式学Linux提权地时候补上.
www-data@DC-1:/var/www$ find /root/thefinalflag.txt -exec cat {} \;
成功拿下!
![[渗透测试篇]Vulnhub之DC-1靶机从入门到入坑_第11张图片](http://img.e-com-net.com/image/info8/83c8d79c31154917b860e9712eb451f0.jpg)
0x03 结语
思路1的渗透过程到此就结束了,通过这次DC-1的渗透练习,突然觉得,有些知识越学越难以理解,但同时也激发了我对这些知识的好奇(入坑成功).
看来古人诚不欺我,学无止境,大概也就如此吧!
参考资料
CVE-2018-7600
medium
g0tmi1k大佬的博客