DC系列靶机渗透测试 DC（1和2）

说明，为了节省学习时间，接下来的靶机博主都会将思路体现出来；
然后重要步骤写下来，如果大家还有什么不会私信我。
重点是思路。

环境： 靶机 DC-1 IP 未知
测试机： kali IP: 192.168.2.20
博主仁慈附上DC系列 下载地址：
http://www.five86.com/dc-4.html

步骤：

1. 主机发现 端口扫描 服务扫描
   Host is up (0.030s latency).
   Not shown: 65531 closed ports
   PORT STATE SERVICE VERSION
   22/tcp open ssh OpenSSH 6.0p1 Debian 4+deb7u7 (protocol 2.0)
   | ssh-hostkey:
   | 1024 c4:d6:59:e6:77:4c:22:7a:96:16:60:67:8b:42:48:8f (DSA)
   | 2048 11:82:fe:53:4e:dc:5b:32:7f:44:64:82:75:7d:d0:a0 (RSA)
   |_ 256 3d:aa:98:5c:87:af:ea:84:b8:23:68:8d:b9:05:5f:d8 (ECDSA)
   80/tcp open ssl/http Apache/2.2.22 (Debian)
   |http-server-header: Apache/2.2.22 (Debian)
   111/tcp open rpcbind 2-4 (RPC #100000)
   | rpcinfo:
   | program version port/proto service
   | 100000 2,3,4 111/tcp rpcbind
   | 100000 2,3,4 111/udp rpcbind
   | 100000 3,4 111/tcp6 rpcbind
   | 100000 3,4 111/udp6 rpcbind
   | 100024 1 34892/udp6 status
   | 100024 1 46633/tcp status
   | 100024 1 53139/tcp6 status
   | 100024 1 59078/udp status
   46633/tcp open status 1 (RPC #100024)
   MAC Address: 00:0C:29:FB:E8:E7 (VMware)
   Device type: general purpose
   Running: Linux 3.X
   OS CPE: cpe:/o:linux:linux_kernel:3
   OS details: Linux 3.2 - 3.16
   Network Distance: 1 hop
   Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE
HOP RTT ADDRESS
1 29.74 ms bogon (192.168.2.133)
至于本地Localhost 变为了bogon
原因：

终端在初始化，需要确定主机的名字，此时就会向DNS服务器发送一个请求反向查询本机的IP地址；然后把得到的主机名作为自己的主机名。如果没有反向解析的结果
就会显示主机设置的主机名。

OS and Service detection performed. Please report any incorrect results at
Nmap done: 1 IP address (1 host up) scanned in 155.09 seconds
2. 发现ssh,80,rpc 111端口开着。
访问网站

思路： 先看网站是自己写的还是用的成熟CMS 寻找漏洞。
网站CMS为 drupal7
在kali下直接寻找漏洞

接下来就是提权，找到第一个flag

利用suid提权
find / -perm -u=s -type f 2>/dev/null

发现find可以利用
随便创建一个文件 find xx “/bin/bash” ;
利用find 执行时具有root权限

注意 利用命令执行提权时，要注意本来用户的shell是什么。
这里提权失败 因为ww-data本来是 /bin/sh shell，因此
利用命令执行 -exec 产生的shell应该一样。

这个shell是 /bin/sh 如果非要bash 向passwd添加一个 uid,gid为0用户
并且在shadow里面添加密码（hash过的）
然后利用ssh登录。


拿到finalflag。

DC-2 靶机 实验
环境： DC-2 IP未知
测试机 kali IP: 192.168.2.20
步骤：

1. 主机发现，扫描
   
   DC-2 靶机 访问网站 IP会重定向到域名上，因此要设置解析。
   
   访问官网 发现 wordpress ， cewl 社工生成密码字典
   利用cewl -w 生成专属的社工密码字典，然后用户名枚举。
   
   
   得到 admin.jerry,tom 三个用户。
   接下来就要爆破 这三个用户的密码了。
   （1） 扫出登录地址 使用Burp暴力破解
   
   tom parturient
   jerry adipiscing
   （2) 使用hydra 爆破
   
   尝试ssh登录。
   
   进来发现是受限shell
   vi 编辑
   BASH_SMCS[C]=/bin/sh;C
   /bin/bash

发现shell 已经从rbash 变为 bash了
现在导入环境变量 export PATH=$PATH: /bin/

根据提示 su 到jerry


发现 使用git 可以以root身份运行，且不需要密码。

直接拿到root。
发现3306端口开放，先将root密码做个备份。更改root密码，进入数据库。
修改mysql的配置文件进去（my.cnf)



将文件上传到kali监听的ftp服务器。

然后kali上 将数据库导入 自己的库中。
将导出的数据库导入
create database 库名；
source 库名.sql
将导出的表导入;
source 表名.sql
// 重点 清理痕迹（清理日志）退出

1. 先将数据库文件清理，更改Mysql 配置文件
   清理 /var/log/auth.log日志 Debian Ubuntu 都是auth.log 记录了安全日志
   rhel 里面是 /var/log/security。
2. 将备份密码改回去。
   退出登录。
   至此一次数据信息泄露就出现了。
   
   
   导入物理机：
   可以发现 数据库中记录了所有信息（包括密码，你在网站上的信息，写的东西，时间）