VulnHub-DC-1靶机渗透测试

0×00 前言

在开始之前我们需要先配置一下环境,因不知道DC-1靶机的IP,所有我们需要将靶机和kali放在同一个局域网里面,我这里是桥接。

0×01 探测目标

kali:192.168.199.241

kali:192.168.199.241

首先,我们先来探测一下目标机器的IP,这里有很多种方法,着重讲一下其中2种方法。

(1)运行arp-scan识别目标的IP地址

使用arp-scan -l命令探测同一区域中存活主机。

VulnHub-DC-1靶机渗透测试

(2)使用netdiscover识别目标主机

使用netdiscover -i eth0命令探测存活主机。

VulnHub-DC-1靶机渗透测试

因我这只有一个虚拟机,所有192.168.199.203就说目标机器的IP。

0×02 枚举和初步搜索信息

我们利用Nmap执行全端口扫描

Nmap -sV -p- 192.168.199.203

VulnHub-DC-1靶机渗透测试

可以看到开启了80端口,使用浏览器打开看一下。

VulnHub-DC-1靶机渗透测试

很明显,我们看到网站的cms,所以我们可以直接在网上搜索这个cms的漏洞利用方式

VulnHub-DC-1靶机渗透测试

0×03 漏洞利用

我们使用metasploit对漏洞进行利用

1.启动metasploit,搜索drupal模块。

VulnHub-DC-1靶机渗透测试

搜索这个类cms在msf中能进行利用的方法

以上有数个攻击模块,哪一个能用,就需要一个一个进行尝试了。

2.经测试采用2018的,配置好参数,开始攻击。

VulnHub-DC-1靶机渗透测试

3.在meterpreter中能进行的命令比较少,所有我们一般都直接进入系统下的shell

VulnHub-DC-1靶机渗透测试

4.很显然这个shell虽然已经进入,但是这里并不是交互的shell,所以我们要进入交互式的shell

使用python反弹一个交互式shell

VulnHub-DC-1靶机渗透测试

5.因www-data权限很低,我们接下来开始提权。

使用suid提权

找到一个属于root的有s权限的文件

VulnHub-DC-1靶机渗透测试

查看find是否可以。

VulnHub-DC-1靶机渗透测试

提权成功。

VulnHub-DC-1靶机渗透测试

6.接下来我们开始寻找flag。

进入/home目录,发现flag4文件。

VulnHub-DC-1靶机渗透测试

VulnHub-DC-1靶机渗透测试

继续查找敏感文件,在/var/www文件夹下发现flag1.txt,内容提示寻找站点的配置文件

VulnHub-DC-1靶机渗透测试

Drupal的默认配置文件为 /var/www/sites/default/settings.php,查看发现了flag2和数据库的账号密码,我们先进入数据库查看。

VulnHub-DC-1靶机渗透测试

VulnHub-DC-1靶机渗透测试

VulnHub-DC-1靶机渗透测试

直接查找默认的Drupal user 表,发现admin用户。

VulnHub-DC-1靶机渗透测试

方法一

使用Drupal对数据库的加密方法,加密脚本位置在网站根目录下的s下

使用加密脚本加密新密码123456,生成加密密文

参考链接:http://drupalchina.cn/node/2128

1.站点路径下执行

2.php s/password-hash.sh 新密码

3.修改admin用户的密码,更新为新密码:123456

1.站点路径下执行

2.php s/password-hash.sh 新密码

3.修改admin用户的密码,更新为新密码:123456

VulnHub-DC-1靶机渗透测试

VulnHub-DC-1靶机渗透测试

尝试登录一下。

VulnHub-DC-1靶机渗透测试

方法二

在exploitdb中有一个针对Drupal 7版本的攻击脚本,可以增加一个admin权限的用户账号,使用此方法简便了破解admin的密码,更直接

查看Drupal版本,确定Drupal版本为7.24

cat /var/www/includes/bootstrap.inc | grep VERSION

VulnHub-DC-1靶机渗透测试

msf > searchsploit drupal

攻击脚本适用于7.31以下,所以适合7.24版本

VulnHub-DC-1靶机渗透测试

利用drupal7.0版本漏洞增加有admin权限的用户:admin1/admin1

python /usr/share/exploitdb/exploits/php/webapps/34992.py -t http://192.168.199.203 -u admin1 -p admin1

VulnHub-DC-1靶机渗透测试

查看users表,添加admin1成功

VulnHub-DC-1靶机渗透测试

使用新添加的用户admin1/admin1登录网站,在content模块下,找到flag3

VulnHub-DC-1靶机渗透测试

VulnHub-DC-1靶机渗透测试

查看/etc/shadow 文件,发现flag4用户,并且flag4用户可以登录并且有密码,所以存在flag4的根目录,我们可以使用 hydra进行爆破

VulnHub-DC-1靶机渗透测试

1.-l 指定用户名

2.-P 加载密码字典(自定义)

3.ssh://ip 指定使用协议和ip地址

4.爆破密码为:flag4/orange

1.-l 指定用户名

2.-P 加载密码字典(自定义)

3.ssh://ip 指定使用协议和ip地址

4.爆破密码为:flag4/orange

VulnHub-DC-1靶机渗透测试

使用flag4用户可以通过ssh登录系统

1.ssh flag4@192.168.199.203

2.密码:orange

1.ssh flag4@192.168.199.203

2.密码:orange

VulnHub-DC-1靶机渗透测试

VulnHub-DC-1靶机渗透测试

在flag4中提示在root根目录下存在,进入到root根目录/root下找到thefinalflag.txt文本文件

VulnHub-DC-1靶机渗透测试

自此五个flag全部找到,主要联系了命令和工具的使用,以及使用find命令找suid和提权。

*本文作者:MzHeader,转载请注明来自FreeBuf.COM

原创文章,作者:,如若转载,请注明出处:https://www.webacg.com/news/20815.html

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注