DC-1靶机渗透

本文最后更新于:2022年6月29日 中午

DC-1靶机渗透思路:

下载链接:https://www.vulnhub.com/entry/dc-1,292/

打开虚拟机在DC-1靶机的设置中修改网络适配器为NAT模式。

记得记一下DC-1的MAC地址。

![3I5UXP35%7I7`($BOBVEJ](https://tva1.sinaimg.cn/large/007u0ID7ly1h3ozt0y2ppj30nw0ru0wj.jpg)

首先我们知道了拿到靶机需要拿到5个flag,然后根据每个flag的提示找到下一个flag。

信息搜集

DC-1和kali现在属于同一个网段,我们根据靶机的MAC地址,使用nmap扫描可以找到DC-1的ip地址,然后进行端口扫描。

nmap -sP 192.168.140.0/24

nmap -sV -A 192.168.140.132

3BWV~%AZRBMBPI682RBSLOJ

发现80端口开放,查看网站信息,发现是一个Drupal框架搭建的网站,使用Wappalyzer,或者查看robots.txt暴露出的信息,可以获取到Drupal的版本。

JR6FVYIQ4A8373}))_4C0BL

MSF

在MSF中搜索,drupal利用模块进行攻击。

QRTO@148N@YJ1QDC%T9EOKG

使用exploit命令执行攻击,利用drupal_drupalgeddon2

QRTO@148N@YJ1QDC%T9EOKG

ls可以看到 flag1.txt

16$IOMS}8OAN3P~SX269XKD flag1.txt
Every good CMS needs a config file - and so do you.

根据flag1的提示,我们查看CMS配置文件,Drupal的配置文件是网站根目录下的/site/defaultx下的setting.php文件。

LRREH6N1IJ~S9$}9MFC2J{Q

flag2:

Brute force and dictionary attacks aren’t the

only ways to gain access (and you WILL need access).

What can you do with these credentials?

翻译:

暴力和字典攻击不是

只有获得访问权限的方法(您将需要访问权限)。

您可以使用这些凭据做什么?

并且我们查看到了数据库账号密码

username:dbuser

password:R0ck3t

登录数据库

使用命令shell拿到shell,然后再使用命令python -c import pty; pty.spawn('/bin/bash')"获取一个交互式shell

QRTO@148N@YJ1QDC%T9EOKG

查看users表,如果pass是明文,我们就可以直接登录192.168.140.132这个网站,密文产生的脚本是/scripts/password-hash.sh,使用这个脚本产生123456密文,产生的密文替换数据库中admin的密文,admin用户的密码就能改成123456,完成后使用update命令更新。

QRTO@148N@YJ1QDC%T9EOKG

登录网站

登录drupal,发现flag3,提示要使用find命令

P5@8%I_~_K8YJ80Q9%PB84L

爆破ssh密码

并且发现了flag4且打开了ssh,所以尝试使用九头蛇爆破ssh密码,得到登录密码为orange,登录之后在flag4用户的home目录中,发现flag4.txt

T8G@`FG@TOTDA55`L}TX5QJ

QRTO@148N@YJ1QDC%T9EOKG

find提权

然后使用find命令提权:

使用方法find (一个路径或文件必须存在) -exec 执行命令 (结束);

G(II4(UWC3TH3881ND(GMYA

使用命令find ke1r -exec '/bin/sh' \;最终提权至root权限,ls找到finalflag.txt

TR(%2LI(TW3G$B7SBB6BM3T


DC-1靶机渗透
https://ke1r.cn/2022/06/29/DC-1靶机渗透思路/
作者
Ke1R
发布于
2022年6月29日
许可协议