type
status
date
slug
summary
tags
category
icon
password

0x00 DC-1靶场介绍

靶场介绍:关于VulnhubVulnhub是一个特别好的渗透测试实战网站,提供了许多带有漏洞的渗透测试
渗透要求:靶机需要获得root权限,并找到所有的5个flag
环境配置:因不知道DC-1靶机的IP,所有我们需要将靶机和kali放在同一个局域网里面,这里我选择NAT模式

0x01 信息收集

首先进去DC-1靶场环境,显示一个登录页面,我们无法得到账户与密码,因为靶机在NAT模式,故可以用域内存活主机利用工具扫描域内存活主机
1)目标IP收集
这里利用kali扫描域内存活主机-----arp-scan -l
notion image
2)目标端口收集
上述通过查询得到192.168.213.139 为靶机DC-1目标IP
这里利用nmap端口扫描-----nmap -sS 192.168.213.139
notion image
3)扫描目录
这里利用端口扫描工具-扫描到IP存在robots.txt目录
notion image
4)web页面信息收集
通过访问robots目录发现目标路径,通过访问80端口与robots下目录一致,进入目标web继续信息收集
1.已知开源CMS-Drupal 版本:7
2.中间件服务器:apache 版本:2.2.22
3.php版本:5.4.45
4.数据库类型:后面收集到为mysql
notion image
notion image

0x02 攻击测试

1.已知程序是开源CMS,尝试使用cms漏洞攻击
这里利用kali-msf搜索cms模块-----search-drupal
notion image
网上搜索资料逐一尝试发现攻击荷载---exploit/unix/webapp/drupal_drupalgeddon2可以使用
攻击荷载信息配置
攻击成功
获取反弹shell
notion image

0x03 渗透提权提升

查看目录下文件发现flag1
notion image
翻译flag提示
每一个好的CMS都需要一个配置文件-你也一直需要
提示配置文件,想到网站cms的根配置文件,网上查询drupal配置文件位置
notion image
百度查询文件位置
notion image
查看网站目录 获取到flag2.txt 以及数据库为mysql账户密码
notion image
翻译flag2提示
蛮力和字典攻击是不是 *只有获得访问(您将需要访问)的方法。 *您可以如何处理这些凭据?
提示我们需要权限访问进行操作
首先登录数据库搜索相关信息,查看敏感表
notion image
查看账户表发现密码经过特殊hash加密
notion image
发现自己修改账户密码无法登录
查看到之前网站配置文件里面有个hash加密的文件 利用特殊hash加密123
登录数据库使用加密脚本得到123哈希---$S$D15BAuciJ7yEJ3lq0rLaZBw4Y/qK1fas08mWoAjZV.MwLx2gAKox
修改admin密码登录后台
登录后台发现flag3.txt
notion image
翻译flag3提示
Special PERMS will help FIND the passwd - but you'll need to -exec that command to work out how to get what's in the shadow
提示我们需要特殊的fina权限去执行操作
返回终端查看账户发现flag4
notion image
查看flag4提示
notion image
您能否使用同一方法查找或访问根中的标记?
可能。但也许没那么容易。 也许是吧?
我们使用同一方法去执行操作
首先利用kali破解flag4密码
得到密码为:orange
ACCOUNT FOUND: [ssh] Host: 192.168.213.139 User: flag4 Password: orange [SUCCESS]
ssh登录flag4账户
notion image
按照前面提示利用suid提权
查找系统上运行的所有SUID可执行文件。
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;
####suid提权笔记:
/查看用户cat etc/passwd 除root 其他为启动程序用户
/查看计算机保存的账户密码:cat /ect/shadow
suid提权网站参考:https://gtfobins.github.io/
suid:-rwsr-xr-x test.sh s:配置过suid的文件,使用该文件者将以管理员权限运行
find / -perm -u=s -a -type f 2> /dev/null
  • perm -u:查看用户 -s 查看是否为suid
  • a :and
  • type f:指定文件类型为文件
directory目录
2 > /dev/null:错误输出重定向 不是所有suid 文件都可以用来提权。
find flag1.txt -exec '/bin/sh' \; 使用find查找任意存在文件到bin、bash 提取到root权限结束闭合
find misc -exec '/bin/sh' \; 查找当前路径下任意文件也行
./ . 当前路径
  • exec:拷贝到 \;结束
发现为root权限
notion image
回到home目录发现最后一个flag
notion image
最后一个flag翻译
notion image
DC-1渗透结束!
相关文章
文件操作之文件下载读取漏洞-CVE-2019-18371
python安全开发-子域名爬取&ftp爆破
python开发-sqlmapapi接口批量扫描注入
python安全开发-多线程目录扫描&端口扫描&子域名爆破
python安全开发-rce命令执行&请求测试&豆 ban的信息爬取
Python开发-fofa批量挖掘glassfish-任意读取漏洞
渗透DC-2-suid提权内网渗透-最实用的信息收集
告白
告白
一个普通的干饭人🍚
公告
type
status
date
slug
summary
tags
category
icon
password
🎉告白的个人日常博客🎉
-- 关注微信公众号 ---
Gaobai文库
本站内存在文章缺失,框架组件问题待解决
更多文章移步CSDN:https://blog.csdn.net/qq_53577336?spm=1011.2415.3001.5343
原博客kxsy.work文章已在慢慢迁移本站
渗透时长两年半的个人练习生
-- 感谢您的支持 ---
👏欢迎阅览👏
联系我们