渗透靶场--DC1

最新推荐文章于 2024-05-07 09:25:14 发布
最新推荐文章于 2024-05-07 09:25:14 发布
阅读量570 收藏 2
点赞数
分类专栏: 渗透靶场 文章标签: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45794666/article/details/118930404
版权

DC1

攻击机ip:192.168.1.164

靶机ip:192.168.1.163

目标:获取靶机上的5个flag

1.内网渗透,先利用namp扫描整个网段

image-20210123233624521

目标机为192.168.1.163

2.继续nmap嗅探端口信息,。

/1

开放了22/80/111/56771端口

3.那就访问80端口

image-20210124001251795

是一个网站

image-20210124002202206

CMS为Drupal

4.使用dirseach扫描网站目录,扫出了一个robots.txt

#
# robots.txt
#
# This file is to prevent the crawling and indexing of certain parts
# of your site by web crawlers and spiders run by sites like Yahoo!
# and Google. By telling these "robots" where not to go on your site,
# you save bandwidth and server resources.
#
# This file will be ignored unless it is at the root of your host:
# Used:    http://example.com/robots.txt
# Ignored: http://example.com/site/robots.txt
#
# For more information about the robots.txt standard, see:
# http://www.robotstxt.org/wc/robots.html
#
# For syntax checking, see:
# http://www.sxw.org.uk/computing/robots/check.html

User-agent: *
Crawl-delay: 10
# Directories
Disallow: /includes/
Disallow: /misc/
Disallow: /modules/
Disallow: /profiles/
Disallow: /scripts/
Disallow: /themes/
# Files
Disallow: /CHANGELOG.txt
Disallow: /cron.php
Disallow: /INSTALL.mysql.txt
Disallow: /INSTALL.pgsql.txt
Disallow: /INSTALL.sqlite.txt
Disallow: /install.php
Disallow: /INSTALL.txt
Disallow: /LICENSE.txt
Disallow: /MAINTAINERS.txt
Disallow: /update.php
Disallow: /UPGRADE.txt
Disallow: /xmlrpc.php
# Paths (clean URLs)
Disallow: /admin/
Disallow: /comment/reply/
Disallow: /filter/tips/
Disallow: /node/add/
Disallow: /search/
Disallow: /user/register/
Disallow: /user/password/
Disallow: /user/login/
Disallow: /user/logout/
# Paths (no clean URLs)
Disallow: /?q=admin/
Disallow: /?q=comment/reply/
Disallow: /?q=filter/tips/
Disallow: /?q=node/add/
Disallow: /?q=search/
Disallow: /?q=user/password/
Disallow: /?q=user/register/
Disallow: /?q=user/login/
Disallow: /?q=user/logout/

没有什么敏感目录/文件

5.转变方向,利用msf寻找一下是否有可用的漏洞。

image-20210124005112573

这里第四个Drupalgeddon2漏洞(CVE-2018-7600)可以成功利用。

对于默认或常见的Drupal安装来说,该漏洞允许攻击者在未经身份验证的情况下远程执行代码。

引起该漏洞的根本原因,是由于Drupal对Form API(FAPI)的AJAX请求的输入没有进行严格过滤,使得攻击者有机会将恶意荷载注入内部表单结构,从而导致Drupal在没有进行用户认证的情况下执行恶意荷载。利用该漏洞,攻击者可以接管整个网站。

6.查看参数,只有PHOSTS是需要设置的

image-20210124005708102

设置PHOSTS后直接执行

注意:这里要lport是防火墙(uwf)所允许的

image-20210124012121710

执行获得session

image-20210124012104528

7.再利用 python的一个脚本反弹shell

image-20210124012310810

得到第一个flag

image-20210124012333007

提示为每一个好的CMS都需要一个配置文件-你也是。也就是配置文件

8.百度查询drupal的默认配置文件,/sites/default/settings.php,通过shell查询

注意:要在文件前加/var/www目录

image-20210124095046884

得到flag2:暴力和字典攻击并不是获得访问权限的唯一方法(而且您需要访问权限)。你能用这些权限做什么?

和drupaldb数据库的用户名和密码

9.进入mysql,先查询库

image-20210124095316532

10.选择目标数据库,查询所有表,查询user表所有字段

use drupaldb
show tables;
select * from users;

image-20210124101528379

但是admin用户的密码显然是经过加密的

drupal不同版本对于口令(密码)加密采用的是不同算法:

drupal 5、6都是用MD5加密的,而从drupal7以后用的是SHA-512(SHA2);基本上不可解

11.接下来可以有三个方法去得到访问权限

  1. 重置admin密码,既然我们有读写/var/www下文件权限,又有数据库修改权限

    • 首先要找到drupal7默认的进入页面index.PHP,修改成如下形式,注意,加入的三句
require_once 'includes/password.inc';
echo user_hash_password('加密字符')[这里用123456];
die();

必须放在drupal_bootstrap(DRUPAL_BOOTSTRAP_FULL)之后,这句话的意思就是获得函数的访问权限,如果放在前面很多函数式找不到的。
再次访问得到$S$DzOu3nRfBMcOuMw7JP5EpXh5f.595KOADPHbZMUOTD4ZosZm3T6W
      • 再去连接数据库修改密码为得到的哈希值

    image-20210124104320351

    这样就可以通过admin,123456登录了

    注意:Drupal有自己对数据库的加密方法,加密脚本位置在网站根目录下的scripts下

    所以也可以调用 /var/www/scripts/password-hash.sh 生成一个密码的hashcode,然后去更改密码表即可

    image-20210124104911032

  2. 直接找到网站用户验证登录的代码,进行修改后,随意登录

    /var/www/下所有文件都具有写权限,位于/includes/password.inc文件的function user_check_password($password, $account)函数中,讲255行和257行进行修改,即密码无论输入什么都返回true。

    image-20210124105542681

    再用admin/随意密码 即可登录

  3. 添加一个管理员权限的用户

由于是一个登录页面,可以去查询是否有sql注入的利用

image-20210124113807363

需要版本<7.31

查询/var/www/moodules/system/system.info可以知道版本号为7.24

image-20210124114338341

先利用searchsploit -p 获取py路径

image-20210124115604076

了解需要的参数

image-20210124115632556

执行成功

image-20210124115703130

image-20210124115730327

再去用ly/123456登录

12.登录成功后在content中找到了flag3

特殊PERMS将有助于找到密码-但你需要-执行该命令,以解决如何得到什么在阴影中。

命令执行

image-20210124115830593

13.去查询/etc/passwd

文件内容=注册名:口令:用户标识号:组标识号:用户名:用户主目录:命令解释程序

image-20210124120838682

找到了flag4用户,他的用户目录为/home/flag4

14.访问得到flag4

image-20210124120936892

是否可以使用相同的方法在根目录中查找或访问标志?

可能。但也许没那么容易。或者可能是?

15.尝试访问/root

image-20210124133425642

可以看到权限不够

16.find / -perm -u=s -type f 2>/dev/null

查看具有root用户权限的SUID文件

/表示从文件系统的顶部(根)开始并找到每个目录
-perm 表示搜索随后的权限
-u = s表示查找root用户拥有的文件
-type表示我们正在寻找的文件类型 f 表示常规文件,而不是目录或特殊文件 2表示该进程的第二个文件描述符,即stderr(标准错误)
>表示重定向
/ dev / null是一个特殊的文件系统对象,它将丢弃写入其中的所有内容。

image-20210124134312933

可以看到find有suid权限

17.利用find提权到 root 用户权限

先查看其信息,发现其确实是root用户权限的SUID的文件

image-20210124134527164

先看一下是否能用find命令以root权限运行

find flag1.txt -exec “whoami” ;

所有通过find执行的命令都是root权限,那么使用find -exec生成一个具有root权限的shell

find -exec ‘/bin/sh’ ;

得到最后的flag,Well done!!!

0.0也可以用find -exec去执行netcat开放端口,然后再去连接也是root权限

image-20210124135542623

6ri9ht
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
看完这篇 教你玩转渗透测试靶机——Metasploitable2
m0_67401746的博客
03-18 7526
Metasploitable2渗透测试详解 Metasploitable2靶机介绍: Metasploitable2靶机下载: Metasploitable2靶机安装: Metasploitable2靶机漏洞详解: Metasploitable2靶机渗透总结: Metasploitable2靶机介绍: Metasploitable2 虚拟系统是一个特别制作的ubuntu操作系统,本身设计作为安全工具测试和演示常见漏洞攻击。这个版本的虚拟系统兼容VMware。当虚拟系统启动之后,使用用户名:msf
Namp使用
wq1205750492的博客
04-29 9497
一、Nmap简介: Namp是一款开源免费的网络发现(Network Discovery)和安全审计(Security)工具 软件名字Nmap是Network Mapper的简称 Nmap最初是由Fyodor在1997年开始创建的,随后在开源社区的志愿者参与下,该工具逐渐成为最流行安全必备工具之一 黑客入侵大体可以分为3个过程:信息收集、弱点分析、执行入侵 Namp既可以用于黑客前期收集主机信息,也可以用于管理员了解网络情况,甚至还可以弱点扫描 总体而言,Namp提供这几种功能:主机发现,端口扫描,操作系
【2024最新版】超详细NMAP安装保姆级教程,Nmap的介绍、功能并进行网络扫描,收藏这一篇就够了
最新发布
程序员阿飘 的博客
05-07 1302
从诞生之初,Nmap就一直是网络发现和攻击界面测绘的首选工具。从主机发现和端口扫描,到操作系统检测和IDS规避/欺骗,Nmap是大大小小黑客行动的基本工具。为了绘制网络拓扑图,Nmap的发送特制的数据包到目标主机,然后对返回数据包进行分析。Nmap是一款枚举和测试网络的强大工具。
nmap基本使用
难搞定做的博客
06-08 3512
Namp是一款开源免费的网络发现(Network Discovery)和安全审计(Security)工具软件名字Nmap是Network Mapper的简称Nmap最初是由Fyodor在1997年开始创建的,随后在开源社区的志愿者参与下,该工具逐渐成为最流行安全必备工具之一黑客入侵大体可以分为3个过程:​ 信息收集、弱点分析、执行入侵Namp既可以用于黑客前期收集主机信息,也可以用于管理员了解网络情况,甚至还可以弱点扫描。
nmap详细使用教程
热门推荐
星落的博客
05-07 14万+
主机发现 -sL 简单的扫描目标 -sn Ping扫描-禁用端口扫描 -Pn 将所有主机视为在在线,跳过主机发现 -PS/PA/PU/PY [portlist] 使用TCP、SYN/ACK、UDP、SCTP扫描指定端口 -PE/PP/PM ICMP回显,时间戳和网络掩码请求探测 -PO[协议列表] IP协议Ping -n/-R 从不执行DNS解析/始终解析[默认:有...
namp扫描(内附完整命令)
05-04
nmap是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统(这是亦称 fingerprinting)。它是网络管理员必用的软件之一,以及用以评估网络系统安全。
靶机-DC1通关详细过程
06-27
靶机-DC1通关详细过程
Romax学习资料-DC1模块-载荷谱处理
03-14
Romax学习资料-DC1模块_载荷谱处理
docker-compose version 1.23.0,build c8524dc1
09-01
centos7安装docker后,并没有安装docker-compose,而且很多源里没有,无法通过yum安装,wget github的源码,有时候会很慢,这里提供一个现成的,源码编译好的docker-compose。centos7安装docker和docker-compose,...
ST_DC1-configs:DC1子卡的Machinekit配置文件(对于DE10-Nano)
02-21
ST_DC1-配置 DC1子卡的机器套件配置文件(对于DE10-Nano) 用于ShadeTechnik DC1子卡的DE10-Nano硬件测试和设置的Machinekit Hal和GUI文件。 仍在进行中,可能会进行修订。
AZ-800(中文)有修正一些 2022年10月份.pdf
10-25
DC1承载所有操作主机角色,该网络包含一个本地Active Directory域服务(AD DS)域,名为每个办事处的客户端计算机从其本地DHCP服务器获取IP地址。 身份基础设施是案例研究的另一个重要部分。WEB1和WEB2运行名为...
DC1靶场 Drupal
m0_62438849的博客
03-02 1079
22端口是开放的,试试ssh登录呢, ssh 客户端用户名@服务器ip地址,我本来想以刚才的admin和1111111试试能否登录,不能登录。find / -perm -4000 2>/dev/null寻找 4000权限的文件,不显示其他的错误信息相当于过滤。点击Dashboard,看到flag3,特殊的访问权限将能帮助找到密码,需要执行命令行,在/etc/shadow。内容格式:x表示此用户设有密码,但不是真正的密码,真正的密码保存在 /etc/shadow 文件中。
DC-1靶机渗透
plant1234的博客
04-17 1159
简介 靶机名称:DC1 下载地址:https://www.vulnhub.com/entry/dc-1-1,292/ 一、信息收集 利用nmap扫描发现主机: nmap -sP 192.168.229.0/24 获取主机为:192.168.229.180 收集主机端口和其它信息: nmap -sS -sV -T5 -A -p- 192.168.229.180 发现开发22端口和80端口,并且运行在Linux上 二、漏洞查找 发现有80端口直接访问得到: 发现是cms是drupal,用msf看一
DC-1靶机渗透详解 — CSDN博客
Weirdo9711的博客
11-02 701
DC-1靶机渗透详解 环境搭建 @ kali-Debian8.x-64 位(172.20.10.111/24) @ dc-1靶机 @ 两台主机都设置为nat模式 信息收集 @ 使用 nmap -sP 172.20.10.0/24 扫描本网段内的存活主机 @ 可以发现目标靶机IP为 172.20.10.134/24 @ 接下来要对靶机进行进一步扫描,查看靶机开放了哪些服务及服务版本 @ 靶机开启...
vulnhub靶机DC-1
cyzCc的博客
02-15 889
1.启动DC1靶机发现没有登录密码 2.信息收集 主机发现,由于是与主机nat连接,所以需要找到dc1的IP地址 dc1的Mac地址是 nmap -sP 192.168.211.0/24 所以dc1 靶机的ip地址是192.168.211.133 扫描主机上开启的服务 nmap -A 192.168.211.133 -p 1-65535 发现目标开启了22端口和80端口 22端口考虑ssh...
DC靶场系列--DC1
BGiscool的博客
06-28 4758
DC靶场,主要是通过web渗透技术,拿到web服务器的权限,会有flag做为标记,以拿到最终的flag为目标。DC1是vulnhub平台下的DC系列的第一个靶场,接下来我将会出DC系列的教程,有做的不对或者不完善之处,还请各位小伙伴们不吝指导。 ...
【vulnhub靶场】-dc1
weixin_43446292的博客
04-13 336
1、环境配置: kali:88.16.153.33 dc1:88.16.153.36 补充:kali需设为桥接模式,因为dc靶机打开需要登录,kali设为桥接模式后与dc1在同一个局域网内,可以在kali中扫描得知dc1的ip地址;dc1的下载地址:https://www.vulnhub.com/entry/dc-1-1,292/ 需要找到5个flag.txt 2、信息收集: 2.1 使用arp-scan -l,探测存活主机,也可使用nmap 88.16.153.33/24(较慢) 2.使用nmap查询开
靶场实战】dc-1靶机 渗透测试
weixin_44023442的博客
04-05 1149
参考文章 DC-1 靶机安装及练习 一、搭建环境 搭建环境 下载地址:dc-1 加压后用VMware打开,配置网络适配器为NAT模式 注意:dc-1开机后会提示输入账号密码,这里可以不用管他。 开启kali虚拟机,同样的,配置网络适配器为NAT模式 测试环境 在kali终端输入:ifconfig,查看当前网段 可知,当前c段是 192.168.224.0 用nmap扫描整个c段,输入nmap -sP 192.168.224.0/24 很明显,192.168.224.129 就是dc-1的ip地址
3a36dc1f-4683-43fc-bb40-03ff92fc46f1
09-18
3a36dc1f-4683-43fc-bb40-03ff92fc46f1是一个由数字和字母组成的唯一标识符,通常在计算机领域用来表示一个特定的对象、文件、程序或者实体。这种标识符可以用于识别和区分不同的对象,确保其唯一性。 对于一个以3a36dc1f-4683-43fc-bb40-03ff92fc46f1为标识符的对象,它可以是一台计算机、一个文件、一个用户账户,或者其他任何具有唯一性的事物。通过使用这个标识符,我们可以在系统中快速地定位和识别这个对象,无论是进行查找、调用还是进行其他操作。 在实际应用中,3a36dc1f-4683-43fc-bb40-03ff92fc46f1可能会被用于数据库记录、网络通信、软件开发等各个领域。通过标识符的唯一性,我们可以更方便地管理和操作这些对象,提高系统的效率和安全性。 总之,3a36dc1f-4683-43fc-bb40-03ff92fc46f1是一个用于唯一标识和区分对象的字符串,它在计算机领域具有广泛的应用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值