Vulhub-DC-1靶场

前言: DC-1靶场是Vulhub系一款渗透测试的实战靶场,拥有五个Flag.本篇博客讲述了如何拿去这五个Flag,并详细描述其中的注意点。 实验环境: 虚拟机环境:virtualbox 虚拟机1:DC-1 虚拟机2:Kali-Liux 实验内容: 1主机发现: 进入kali-linux终端,以root权限输入arp-scan -l
arp-scan -l
得到以下结果,发现如下主机存活。 Vulhub-DC-1靶场 进一步探测信息:
nmap -sV -A -p- 10.0.2.4
#-sV 探测目标系统的服务系统 #-A 入侵式扫描 #-p- 扫描全部端口 Vulhub-DC-1靶场 去访问80端口,发现如下页面 Vulhub-DC-1靶场 这是个Drupal Site的CMS,上网搜集到MSF有现成的攻击框架
use exploit/unix/webapp/drupal_drupalgedden2
设置好目标后,代码执行后获得meterpreter接口shell,但是执行shell失败,没有回显。 Vulhub-DC-1靶场 但是发现python可以正常运行,考虑Python切换shell,这里注意单双引号的闭合
python -c 'import pty;pty.spawn("/bin/bash")'
Vulhub-DC-1靶场 发现flag1.txt,cat 查看后获取到如下提示信息
Every good CMS needs a config file and so do you
考虑查看web.config,但是没有发现有用信息,百度发现drupal CMS网站的配置在sites下进入后在default文件夹下发现两个settings有关的文件 查看其中一个发现flag2,与数据库的账户名与密码。并且flag2 提示暴力破解不是唯一的方法。 Vulhub-DC-1靶场 我们先登录上数据库,在数据库下找到了和users有关的信息,发现不是MD5加密,想起来之前在文件夹目录下发现的一个计算Hash的文件 Vulhub-DC-1靶场 文件目录结构如下: Vulhub-DC-1靶场 执行后报错,发现文件包含出现了错误,经过搜索发现kali有现成的模块可以添加Drupal账户,使用方法如下: Vulhub-DC-1靶场   此时登录网站,输入用户名test,密码test。在仪表盘里发现flag3 Vulhub-DC-1靶场 看到此处提及find perm 考虑是SUID提权,又看到password,shadow 查看/etc/passwd,发现flag4账户,查看shadow文件发现禁止查看 此时find提取也是失败的,可能账户不对,唯一的方法是爆破账户了。
hydra -u flag4 -P /usr/shar/Jhon/password.lst ssh://10.0.2.4
爆破出账户和密码是flag4:orange SSH链接上去 Vulhub-DC-1靶场 看到的提示,flag应该是在root权限的家目录下,考虑提权:
find / -perm 400
mkdir tmp
find ./ tmp --exec '/bin/sh' \;
提权成功,在家目录下找到finalflag,到此五个Flag全部找齐 Vulhub-DC-1靶场 总结:本套靶场中的几个点: 1.内网中主机发现除了nmap批量扫描还可以使用arp-scan去发现存活主机 2.CMS漏洞需要去Exploitdb上去找现成的POC或EXP 3.Hydra爆破SSH时,可以使用jhon的字典。 4.find SUID提权 5.如果了解数据库的密码加密方式,可以计算出加密后的密文进行替换,达到登录的效果
上一篇:week2day1-列表


下一篇:ubuntu 12.04下 eclipse的安装