DC-1靶机渗透
本文最后更新于:2022年6月29日 中午
DC-1靶机渗透思路:
下载链接:https://www.vulnhub.com/entry/dc-1,292/
打开虚拟机在DC-1靶机的设置中修改网络适配器为NAT模式。
记得记一下DC-1的MAC地址。
![3I5UXP35%7I7`($BOBVEJ](https://tva1.sinaimg.cn/large/007u0ID7ly1h3ozt0y2ppj30nw0ru0wj.jpg)
首先我们知道了拿到靶机需要拿到5个flag,然后根据每个flag的提示找到下一个flag。
信息搜集
DC-1和kali现在属于同一个网段,我们根据靶机的MAC地址,使用nmap扫描可以找到DC-1的ip地址,然后进行端口扫描。
nmap -sP 192.168.140.0/24
nmap -sV -A 192.168.140.132
发现80端口开放,查看网站信息,发现是一个Drupal框架搭建的网站,使用Wappalyzer,或者查看robots.txt暴露出的信息,可以获取到Drupal的版本。
MSF
在MSF中搜索,drupal利用模块进行攻击。
使用exploit命令执行攻击,利用drupal_drupalgeddon2
ls可以看到 flag1.txt
flag1.txt
Every good CMS needs a config file - and so do you.
根据flag1的提示,我们查看CMS配置文件,Drupal的配置文件是网站根目录下的/site/defaultx下的setting.php文件。
flag2:
Brute force and dictionary attacks aren’t the
only ways to gain access (and you WILL need access).
What can you do with these credentials?
翻译:
暴力和字典攻击不是
只有获得访问权限的方法(您将需要访问权限)。
您可以使用这些凭据做什么?
并且我们查看到了数据库账号密码
username:dbuser
password:R0ck3t
登录数据库
使用命令shell拿到shell,然后再使用命令python -c import pty; pty.spawn('/bin/bash')"
获取一个交互式shell
查看users表,如果pass是明文,我们就可以直接登录192.168.140.132这个网站,密文产生的脚本是/scripts/password-hash.sh,使用这个脚本产生123456密文,产生的密文替换数据库中admin的密文,admin用户的密码就能改成123456,完成后使用update命令更新。
登录网站
登录drupal,发现flag3,提示要使用find命令
爆破ssh密码
并且发现了flag4且打开了ssh,所以尝试使用九头蛇爆破ssh密码,得到登录密码为orange,登录之后在flag4用户的home目录中,发现flag4.txt
find提权
然后使用find命令提权:
使用方法find (一个路径或文件必须存在) -exec 执行命令 (结束);
使用命令find ke1r -exec '/bin/sh' \;
最终提权至root权限,ls找到finalflag.txt