记一次靶机渗透测试

DC-1靶机渗透测试

写在前面

学习网络安全已经一年多了，回想一下之前做过的靶机，想写一篇关于靶机的渗透测试过程，翻了翻Vulnhub看到之前做的一个挺简单靶机：DC-1，其中也有几个知识点需要学习，所以就想把它的渗透过程写出来。有什么不对的地方请各位大佬指正，不胜荣幸，也不胜感激。学生我在此先谢过了。

Vulnhub介绍

Vulnhub是一个提供各种漏洞环境的靶场平台，供安全爱好者学习渗透使用，大部分环境是做好的虚拟机镜像文件，镜像预先设计了多种漏洞，需要使用VMware或者VirtualBox运行。每个镜像会有破解的目标，我们可以做的就是从启动虚机到获取操作系统的root权限和查看flag。
网址

靶场部署

靶机下载

1、DC-1我是直接从官网下载的。链接：http://www.five86.com/downloads/DC-1.zip
2、下载好后是一个ova文件，直接在Vmware中导入就行了

靶机部署

两台机器我用的都是NAT模式
攻击机(kali)IP:192.168.175.129
靶机(DC-1)IP:192.168.175.128

步骤

1、信息收集

1、1 由于靶机下载过后不知道登录用户名和密码，因此我们先来用nmap进行一遍ping扫描进行探测靶机IP地址：nmap -sP 192.168.175.1/24

1、2 老规矩找到靶机地址之后先来一遍端口探测：

nmap -p 1-65535 -sV -sS -T4 192.168.175.128 #使用服务版本检测的完整 TCP 端口扫描，通常第一次扫描，T4 比 T5 更准确，并且仍然“非常快”。

探测发现靶机开放80、22等端口。

ssh服务由于不知道登录密码，所以没有利用的可能性。访问一下80端口，查看页面。

访问web页面，主页发现使用Drupal管理系统，根据以往的经验，先扫一遍网站目录，网站作者极有可能将一些信息隐藏在网站目录下面。

2、漏洞发现并利用

根据扫描出来的网站根目录找寻信息，却发现没有什么可用的信息，此时我们换一种思路，从他的网站管理系统入手，找寻网站管理系统漏洞进行渗透测试。
我们看一下各大漏洞库遍历一下,找寻此系统可能存在的漏洞。

漏洞库地址：
http://www.nsfocus.net/index.php?act=sec_bug
https://www.anquanke.com/vul
http://wy.zone.ci/
https://www.seebug.org/
http://www.expku.com/

查询一遍漏洞库后，我们在msf中找一下是否存在可用的payload，并借助msf进行渗透测试，经过测试，我们使用第一个payload即可进行渗透，并获取权限。

我们使用序号为1的payload，并设置好ip之后进行攻击

成功进入系统，并获取权限，但不是root权限.

3、寻找flag

3.1 flag1

查看当前目录文件，找到flag1。

执行命令如下：
shell
ls
cat flag1.txt

3.2 flag2

查看提示，我们需要找到CMS的配置文件，经过查询，我们利用查询命令，查询文件所在目录

find -name "setting.php"

查看settings.php文件，发现flag2，并获取到一个

数据库的账户和密码
'database' => 'drupaldb',
'username' => 'dbuser',
'password' => 'R0ck3t',

3.3 flag3

此时我们利用python写一个交互shell，然后使用账户和密码来连接数据库并查询里面的数据信息。

命令如下：
python -c 'import pty;pty.spawn("/bin/bash")'
mysql -u dbuser -p
show databases;
use drupaldb;
select table_name from information_schema.tables where table_schema='drupaldb';
select column_name from information_schema.columns where table_schema='drupaldb' and table_name='users';
select pass from users;

查询数据库;




查看密码发现密码都被加密了，此时我们重新查询表中数据，amdin用户密码被加密，暂时没有其他思路，只能尝试更改admin用户的密码。
使用Drupal对数据库的加密方法，生成一个新的密码，然后使用此密码更新admin账户的密码
加密的脚本所在路径：/var/www/scripts/password-hash.sh


然后在mysql终端执行

update drupaldb.users set pass="$S$DOpRSoJxu8FgKXsjxGpIF5F8LFF1It3ptthx4G60T1Etq9ZKiDDS" where name="admin"

此时成功将admin密码更改

登录成功后
查找文件，成功找到flag3

3.4 flag4

flag3的信息中提到了passwd和shadow，应该就是/etc/passwd和/etc/shadow这两个文件了

cat /etc/passwd查看文件，提示flag在/home/flag4里面


查看home/flag4/flag4.txt文件，得到flag4
flag的提示：您可以使用相同的方法在根目录中查找或访问标志吗？
即要用用相同的方法在root目录下找到最终flag。

3.5 flag5

在根目录下面找寻下一个flag，但是我们没有root目录的读写权限
此时我们就需要提权了

查找具有root权限的其他命令：
find / -user root -perm -4000 -print 2>/dev/null

发现find本身就是root权限，然后利用find进行提权

find ./ 111 -exec '/bin/sh' \;

最后找到最后一个flag，自此此次靶机渗透完成。

写在最后

本次靶机攻击所用到的知识点：
1、漏洞探测及利用
2、数据库的利用
3、权限提升

本篇文章到此结束，若有错误之处，请各位大佬指正，不胜荣幸。
参考原文：https://www.freebuf.com/articles/web/258373.html