**VulnHub-DC-1靶机渗透测试笔记**

环境配置:KALI攻击机(version2020.2)、DC-1靶机

靶机下载:https://www.vulnhub.com/entry/dc-1-1,292

两台虚拟机网络适配器设置如下:

1

靶机信息收集:

开始,运行arp-scan命令扫描局域网主机得到靶机IP地址

kali:192.168.120.138 DC-1:192.168.120.139

image

得到靶机IP地址后对目标端口进行扫描,输入命令nmap -A -p- -T4 192.168.120.139

image

扫描结果显示80、22、111端口是open状态,由易入手在kali攻击机打开web 80看看有什么切入点。

image

可以看到使用的是Drupal网站。

直接上metasploit搜索Drupal利用模块,输入如下命令:

root@kali-Y:~#msfconsole

msf5>search drupal

image

use exploit/unix/webapp/drupal_drupalgeddon2

image

设置目标主机地址set RHOSTS 192.168.120.139,然后执行run或exploit

image

成功获得会话,输入help看看可以执行哪些命令

image

执行shell命令获得靶机shell,输入ls列出文件

image

发现flag1文件,cat打开看看内容,中文意思:"每一个好的的CMS需要一个配置文件,你也这样做."

百度搜索drupal默认配置文件路径,在目录sites下面有一个名为default的子目录里面包含站点的默认配置文件settings.php

image

可以看到flag2提示暴力破解字典攻击不是有效的方式,唯有获得访问权限的方式……

往下看列出了数据库的用户名和密码,尝试登录数据库查查看有什么线索

现在shell还不能直接进数据库,需要python反弹得到交互shell

image

查找用户名和密码信息

image
image

看到用户是admin,密码是加密了,可以用密码替换法(百度:忘记drupal管理员密码的解决办法)

image

用更新后的密码123456登录,在页面找到flag3

image

翻译意思是特殊权限将有助于找到密码,但你需要-exec命令来确定如何获取shadow

提示是跟密码或shadow文件有关,查看/etc/passwd发现有flag4用户,存在用户目录,cd flag4用户目录ls列有flag4.txt.

英文大概意思是用相同方法得到root目录下的flag.

image

尝试使用hydra破解flag4用户密码,hydra用法具体参数help或man

-l指定用户

-P加载破解密码字典

ssh://ip指定使用协议和被攻击机IP

看绿色那里显示已经破解成功

host:192.168.120.139

login:flag4

password:orange

通过ssh登录192.168.120.139靶机,cd /root提示没权限。

image

flag4用户目录下有一个flag4.txt文件,我们尝试使用find查看当前权限

find / -type f -perm -u=s 2>/dev/null输入命令后发现root权限的suid命令

image

可利用find命令提权,在flag3时提示-exec命令,执行如下图命令,看到是root权限,直接提权

find flag4.txt -exec "/bin/sh" ;

这条命令很简单,find找到flag4文件后执行/bin/sh 这样root权限就成功获取了。

image

进入/root找到最终thefinalflag.txt

你可能感兴趣的:(**VulnHub-DC-1靶机渗透测试笔记**)