渗透练习 DC-1靶机

导出的pdf下载即可

复现SLR大哥的DC-1 靶机

DC-1 安装

• VM打开DC-1.ova[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Ql3Hejjo-1616384019419)(D:\软件安全下载目录\Typora\image-20210322090613125.png)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IFTGOE3g-1616384019424)(D:\软件安全下载目录\Typora\image-20210322090713013.png)]
• 通过kali查看本机所在网段[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wQVEs3xY-1616384019426)(D:\软件安全下载目录\Typora\image-20210322090902210.png)]
• kali和DC-1在192.168.135.0/24网段，使用nmap扫描此网段的其他主机[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qqCt7q3A-1616384019428)(D:\软件安全下载目录\Typora\image-20210322091213646.png)]
• 扫描到四个存活的主机，三个是Vmware中的，135为kali的IP，[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-A6xQu1Lw-1616384019429)(D:\软件安全下载目录\Typora\image-20210322092422669.png)]
• 直接用浏览器访问剩下的两个IP，发现有一个界面如上图，即为DC-1 的IP。
• 对192.168.124.136进行端口扫描，[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MW0K5R6d-1616384019430)(D:\软件安全下载目录\Typora\image-20210322094044248.png)]有四个端口开启，并且80的http端口下存在robot.txt，直接访问。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tmPvKELu-1616384019432)(D:\软件安全下载目录\Typora\image-20210322095111664.png)]发现里面只有一些版本信息，安装许可等许可文件，并没有其他的有用信息。

漏洞检测

• 使用msfconsole扫描网站目录

  • [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-JtpaKB93-1616384019433)(D:\软件安全下载目录\Typora\image-20210322095743592.png)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-azWxDzYc-1616384019434)(D:\软件安全下载目录\Typora\image-20210322100323841.png)]扫描结果都是403和200的页面。

• 在msfconsole中查询并尝试针对Drupal的工具。因为从初始界面的（Powered by Drupal）可以知道这个网页是基于Drupal 的CMS框架。所以针对性的找drupal 的工具

• [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nVWe9UQv-1616384019435)(D:\软件安全下载目录\Typora\image-20210322101020325.png)]出现这些可用的工具。

• 尝试这些工具。

  • drupal_openid_xxe（open ID外部实体注入）

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Jo19pt55-1616384019435)(D:\软件安全下载目录\Typora\image-20210322101318545.png)]发现并没有什么

  • drupal_views_user_enum（用户枚举工具）

    也没发现什么。

  • exploit/multi/http/drupal_drupageddon，这是一个sql注入工具。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DHQW9Yvd-1616384019436)(D:\软件安全下载目录\Typora\image-20210322102310162.png)]成功了，并ls当前目录。

  • 发现flag1.txt，打开，找到第一个flag[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tY25KdyQ-1616384019437)(D:\软件安全下载目录\Typora\image-20210322102519028.png)]

  • flag1的提示是查看配置文件。百度得知drupal的配置文件在sites/default/settings.php[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HjAbRgfx-1616384019437)(D:\软件安全下载目录\Typora\image-20210322103129342.png)]进入相关目录找到settings.php

  • 查看php发现以下信息[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zPInqRHN-1616384019438)(D:\软件安全下载目录\Typora\image-20210322104406330.png)]有flag2和mysql的一组用户名和口令。所以提示我们进数据库。

• 数据库操作

  • [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-B0RX4Jmb-1616384019439)(D:\软件安全下载目录\Typora\image-20210322105010329.png)]通过靶机的shell开启交互模式

  • 通过之前给的mysql提示进入数据库

  • [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6Atvjuv9-1616384019439)(D:\软件安全下载目录\Typora\image-20210322105341779.png)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EXvYV97q-1616384019440)(D:\软件安全下载目录\Typora\image-20210322105646817.png)]查看数据库中的tables。其中有users和users_roles两个表格。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Xcu67cRn-1616384019442)(D:\软件安全下载目录\Typora\image-20210322105833612.png)]

  • users表中有用户名和口令，但是口令是加密的。通过百度Drupal中truple的加密脚本，可以知道加密脚本为./script/password-hash.sh。既然不能从密文推明文，那就自己加密后修改user的密文。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CDbRNyjE-1616384019444)(D:\软件安全下载目录\Typora\image-20210322110926374.png)]密文：$S$D/GxBMUVoGpQA1R0Dw6tCWwxjsPQu46nqZMENc/ALOuOAYB9glES

  • mysql -udbuser -pR0ck3t
    use drupaldb
    update users set pass=$S$D/GxBMUVoGpQA1R0Dw6tCWwxjsPQu46nqZMENc/ALOuOAYB9glES where uid=1;
    select * from users\G;

  • [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SBZDQHYv-1616384019445)(D:\软件安全下载目录\Typora\image-20210322111505351.png)]更新完成

  • [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-INpU1HYG-1616384019446)(D:\软件安全下载目录\Typora\image-20210322111654260.png)]登录进去。

  • [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PsxiEmAI-1616384019447)(D:\软件安全下载目录\Typora\image-20210322111731279.png)]找到flag3的信息。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-w7IWxHSs-1616384019449)(D:\软件安全下载目录\Typora\image-20210322112140361.png)]flag3 提示我们需要提权。

  • 博主说看到了shadow，立即想到了/etc/passwd(我不行，，，)

  • [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-iUAvPXvi-1616384019450)(D:\软件安全下载目录\Typora\image-20210322112411576.png)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pP7FzrwD-1616384019451)(D:\软件安全下载目录\Typora\image-20210322112430249.png)]得到了flag4的目录位置，直接查看。

  • [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-n6wTuSi5-1616384019452)(D:\软件安全下载目录\Typora\image-20210322112633912.png)]

  • 按权限查找文件

    -perm：按照权限查找

    -type：查是块设备b、目录d、字符设备c、管道p、符号链接l、普通文件f

    -u=s：拥有者是s权限

    S权限：设置使文件在执行阶段具有文件所有者的权限，相当于临时拥有文件所有者的身份. 典型的文件是passwd. 如果一般用户执行该文件, 则在执行过程中, 该文件可以获得root权限, 从而可以更改用户的密码。
    ————————————————
    版权声明：本文为CSDN博主「Lirong Sun」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
    原文链接：https://blog.csdn.net/weixin_43980115/article/details/115051573

    随便

• 使用find命令提升权限

  • 随便find一个内容，而-exec可以作为find的一个选项执行命令。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wFHZBVFB-1616384019452)(D:\软件安全下载目录\Typora\image-20210322113055518.png)]成功进入root目录，并发现flag的txt，查看即可。