VulnHub DC-1

最新推荐文章于 2022-11-09 17:35:08 发布
最新推荐文章于 2022-11-09 17:35:08 发布
阅读量297 收藏 2
点赞数 2
分类专栏: # ——【 Penetration Test】 文章标签: vulnhub
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dyw_666666/article/details/119828181
版权

前言

靶机下载地址:https://www.vulnhub.com/entry/dc-1,292/
靶机:DC1 (VirtualBox)       IP:192.168.10.110
攻击机:Kali (VMware)        IP:192.168.10.107
说明:DC1需要找到5个flag,最终目标是在root的主目录中找到并读取该flag

靶机配置及说明

首先先看靶机与攻击机的配置,二者均是桥接模式(建议靶机和kali都保存快照,以便不时之需)

kali配置:

 靶机配置:

开始

首先查看kali的ip得到192.168.10.107

 

nmap查看靶机ip得到192.168.10.110

 

 继续nmap嗅探靶机其余信息,发现开放22/80

 

 通过浏览器打开这个网站,用Firefox的插件看到CMS是Drupal 7

 继续查看robots.txt,看看有没有用的信息

 

我们并没有得到有用的信息,只是找到了几个没啥用的页面,继续扫描一下目录

扫描依旧也没有什么结果,那我们换个思路,可以搜索一下是否有可利用的漏洞并通过msf进行利用

在这里插入图片描述 输入msfconsole 

 

 

这里我就用Drupalgeddon2漏洞(CVE-2018-7600),Drupal系统没有对表单API接口的Ajax请求输入进行充分的检查,使得攻击者能够向内部表单结构中注入一个恶意的载荷,导致Drupal系统在未进行用户认证的情况下执行这个载荷。

通过利用这个漏洞,一个攻击者能够接管任何Drupal系统用户的整个站点。

这里我们只需要设置靶机的ip就可以执行

查看一下权限,发现是www-data

我们可以看到打开session连接到靶机,接下来我们继续反弹一个交互的shell

flag1

我们可以看到自己当前的权限以及所在路径,那我们ls查看一下其他文件

我们顺利拿到flag1,同时也拿到了提示信息:寻找配置信息百度即可知道默认配置信息位置。

flag2

一般网站目录里都有个数据库配置文件,里面包含着账号和密码。然后我们查看/www/sites.default/settings.php,发现了网站数据库账号密码(这里最好用more查看不至于落掉重要信息)

可以看到flag2也在这个文件中,并得到提示信息:暴力破解和字典爆破不是获取权限的唯一方式(而且你需要获得权限)

我们也顺利地拿到了数据库的一些关键信息(数据库名、登录名、密码),然后我们按q退出,顺着线索继续登录数据库。

flag3

mysql -h 127.0.0.1 -u dbuser -p

 

 发现其中有个user表,在user表中发现admin用户

通过查询 users报中的账号得知admin的密码是一串加密密文,下一步可以在网站目录里面找找有没有加密的脚本文件,通过重置管理员的密码来获取flag

然后在网站的根目录下发现有一个scripts的文件夹,script这个单词本身就是脚本。最终在这个目录里面发现一个名为password-hash.sh的脚本文件,使用加密脚本加密新密码666666,生成加密密文,然后登录系统查看flag3。

执行脚本对密码666666加密

./password-hash.sh 666666

报错,提示缺少文件。检查一下这个脚本文件。

cat password-hash.sh

看到这个我发现是文件引用出现了问题,引用的文件在网站根目录下的include文件夹中,但是我们执行脚本的目录是scripts,所以这个脚本就会把scripts当成根目录,所以我们应该到网站更目录执行这个脚本。

cd /var/www
./scripts/password-hash.sh 666666

得到666666的加密密文$S$Di/KeMGUUjEbhgEZIlGETXANuJDs.vM3a07EL6wKnmCTzUGExuNZ,接下来我们需要重置管理员的密码为666666的加密密文,还得进入数据库直接更新密码。

update drupaldb.users set pass='$S$Di/KeMGUUjEbhgEZIlGETXANuJDs.vM3a07EL6wKnmCTzUGExuNZ' where name='admin';

如上图所示说明更新成功,接下来登陆一下管理员账号,

登陆后点击左上角的Dashboard,然后点击中间的flag3。

然后得到flag3,并提示:用命令来获取密码。

flag4

先看看passwd文件,发现有一个flag4的用户

很明显flag4在/home/flag4目录下

顺利得到flag4,并得到提示:你能用相同的方法在root目录下找到最终flag吗?可能吧,但可能没那么容易。

flag5(最后一个flag)

根据提示能想到suid提权,将目前的www-data用户权限提到root权限,先查询一下具有root权限的其它命令:

find / -user root -perm -4000  2>/dev/null

使用find来执行命令,可以发现find命令本身就是root权限

find flag4.txt -exec "whoami" \;

 

接着利用find提权

find flag4.txt -exec "/bin/sh" \;

 

 查看root目录下的flag文件,得到最后一个flag

 

相关知识点

1、msf的熟练使用以及搜索可利用漏洞(Drupal)
2、留意目标网站的配置文件(more慢慢查看别错过重要信息)
3、数据库管理员提权(更新管理员密码或者添加一个新用户)
4、suid提权的命令(nmap、vim、find、bash、more、less、nano、cp)

烟敛寒林o
关注
专栏目录
vulnhubDC-1
BurYiA的博客
05-02 634
文章目录vulnhubDC-1准备工作1.主机查找2.信息搜集3.正文方法一方法二 vulnhubDC-1 大神们可以退场了,小白的第一篇文章,可能会有很多错误,很多地方可能也会说不清楚。望见谅。 前段时间了解到这个平台,然后就开始难受了,真心不会做(就是太菜了)。闲话就不多说了,开始吧 准备工作 1.DC-1虚拟机(可能得搭梯子,自行尝试) 2.kali虚拟机 1.主机查找 这个就是基本操作...
Vulnhub 靶机DC-1
Lee_yc的博客
08-18 266
扫描局域网中的IP地址,确定靶机ip arp-scan -l
DC-1
0XAXSDD的博客
05-30 889
DC-1靶站GET点 直接网上下载DC1-9系列的靶站,今天要渗透的是DC-1 老样子: vm靶机挂着,没有账号密码,也不能登录进去看看,但是一开机,环境已经启动了 不知道开启了什么服务,常规扫描走一波 直接上个全扫描 第一波建议上大规模扫描,记住,一定要大规模!靓仔,我在监狱等你哟 从nmap详细扫描信息中发现主机开发了22端口和80服务 22端口可以用来爆破 80服务用的drupalcms 版本为7 去web站点看看 这里又扫了一下目录,各种敏感目录看了一下,没有getshell的点 这里分析一下
Vulnhub靶机DC系列-DC-1
m0_54525483的博客
12-21 231
Vulnhub靶机DC系列-DC-1 靶场名称:DC-1 下载地址: DC-1.zip (Size: 733 MB) http://www.five86.com/downloads/DC-1.zip (Mirror): https://download.vulnhub.com/dc/DC-1.zip (Torrent): https://download.vulnhub.com/dc/DC-1.zip.torrent (Magnet) VMware->文件->打开->选中 .
vulnhub】---DC-6靶机
qq_43168364的博客
08-21 676
目录 一、实验环境 二、信息收集 三、渗透测试   1、漏洞发现和利用   2、提权 四、总结 一、实验环境 靶机:靶机(192.168.15.154) 攻击机:kali Linux(192.168.15.129) 二、信息收集 主机发现 命令:nmap -sn 192.168.15.0/24 命令:netdiscover -i eth0 -r 192.168.15.0/24 端口扫描 版本探测和操作系统识别 web指纹识别 网站目录扫描 三、渗透测试 1、漏洞发现和利用 2、提权 四、总结 渗
vulnhub】---DC-4靶机
qq_43168364的博客
08-21 1959
目录 一、实验环境 二、信息收集 三、渗透测试   1、漏洞发现和利用   2、提权 四、总结 一、实验环境 靶机:DC-4靶机(192.168.15.152) 攻击机:kali Linux(192.168.15.129) 二、信息收集 主机发现 端口扫描 版本探测和操作系统识别 web指纹识别 网站目录扫描 三、渗透测试 1、漏洞发现和利用 2、提权 四、总结 渗透步骤 渗透思路 ......
Vulnhub DC-1靶场
最新发布
weixin_47019868的博客
11-09 459
DC-1 靶场实战
复现DC-1靶机.pdf
03-22
复现DC-1靶机.pdf
DC-1靶场(CVE-2018-7600)
lionwerson的博客
10-14 1824
1.下载DC-1靶场: DC-1下载地址https://download.vulnhub.com/dc/DC-1.zip2.解压打开靶场,导入虚拟机网络模式改为桥接模式,打开虚拟机。 3.浏览器访问80端口,其实也可以先用nmap扫描一下端口。 是一个Drupal CMS。 4.先挂扫描器走一波。 发现存在CVE-2018-7600的Drupal的一个RCE,并且小于7的版本都可以,这个应该就是这个靶场的主要漏洞了。 poc如下: 漏洞存在,验证 poc: #!/usr/b..
Qt Designer的安装与汉化教程
热门推荐
jia666666的博客
08-15 4万+
第一步:PyQt5的安装 cmd下输入安装指令如下,注意,确保python环境的配置无误 pip install PyQt5 pip install PyQt5-tools 第二步:打开pyQt所在的位置 在这里,我的位置如下,一般在python安装路径下 第三步:把汉化包复制进去 就是上图的第一个文件就是汉化包,放入即可实现Qt Designer的汉化 再次打开,效...
python-opencv,图像算数:相加、相减、与、或、异或、非
A_Z666666的博客
07-23 4万+
一、函数简介 1、add—图像矩阵相加 函数原型:add(src1, src2, dst=None, mask=None, dtype=None) src1:图像矩阵1 src1:图像矩阵2 dst:默认选项 mask:默认选项 dtype:默认选项 2、subtract—图像矩阵相加 函数原型:subtract(src1, src2, dst=None, mask=None, ...
vulnhub靶场实战:DC-1
huangyongkang666的博客
04-18 4546
vulnhub实战:DC-1 1.DC-1介绍 DC-1是一个专门构建的易受攻击的实验室,目的是在渗透测试领域获得经验。 它旨在为初学者带来挑战,但它的容易程度将取决于您的技能和知识以及您的学习能力。 要成功完成此挑战,您将需要Linux技能,熟悉Linux命令行以及具有基本渗透测试工具的经验,例如可以在Kali Linux或Parrot Security OS上找到的工具。 有多种方法可以获得root,但是,我包含了一些包含初学者线索的标志。 总共有五个flag,但最终目标是在root的主目录中找到并读取
vulnhub靶机-DC1-Writeup
liuhanzhe的专栏
12-08 1157
vulnhub靶机-DC1-writeup
shell 跳过当前错误继续执行_反弹shell | nc&bash
weixin_39846191的博客
11-19 1051
01 ncnetcat,简称nc,一款TCP/UDP网络连接的利器,可实现任意TCP/UDP端口的侦听,被称为“瑞士军刀”,可见其功能强大。nc的选项较多,这里只介绍我们日常工作中可能会经常使用到的几个选项。"-v"选项,可以说是每次执行命令时必添加的选项,用于输出详细信息,如果输入两次,那么输出的信息将更多。"-l"选项,进入监听模式,"-p"选项,指定本地端口,这两个选项通常结合使用,指定某端...
VulnHubDC-1
weixin_39219503的博客
01-29 256
01 环境搭建 靶机环境下载:https://www.vulnhub.com/entry/dc-1,292/ 题目信息如下,环境中有flag文件,里面有hint DC-1 is a purposely built vulnerable lab for the purpose of gaining experience in the world of penetration testing. ...
PyQt5基本控件详解之QDialog(十二)
jia666666的博客
08-09 2万+
QDialog 前言 为了更好的实现人机交互,比如window和linux等系统均会提供一系列的标准对话框来完成特定场景下的功能,比如选择字号大小。字体颜色等,在PyQt5中定义了一系列的标准对话框类,让使用者能够方便快捷地通过各个类完成字号大小,字体颜色以及文件的选择等 QDialog类的子类主要有QMessageBox,QFileDialog,QColorDialog,QFo...
666666
laopozhoululu的博客
01-03 278
public abstract class SimpleAdapter<T> extends BaseAdapter<T,BaseViewHolder> { public SimpleAdapter(Context context) { super(context); } public SimpleAdapter(Context ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

烟敛寒林o

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值