靶场DC-1

靶场DC-1

前言:

DC-1是一个专门构建的易受攻击的实验环境,目的是获得渗透测试的经验。

它的设计对初学者来说是一个挑战,但是它的难易程度取决于您的技能和知识以及学习能力。

要成功完成此挑战,您需要具备Linux技能,熟悉Linux命令行以及具有使用基本渗透测试工具(例如可在Kali Linux或Parrot Security OS上找到的工具)的经验。

有多种获得root的方法,但是,其中包含了一些flag,这些flag包含了一些线索。

总共有五个flag,但是最终目标是在root的主目录中找到并读取该flag。您甚至不需要成为root用户即可执行此操作,但是,您将需要root特权。

根据您的技能水平,您可能可以跳过查找这些标志中的大多数标志并直接寻找根。

初学者可能会遇到他们以前从未遇到过的挑战,但是Google搜索应该是获得完成此挑战所需信息所需要的全部。

emmm (~o ̄3 ̄)~瞟来注释(师傅莫怪)

DC-1是基于Debian 32位构建的VirtualBox VM,因此在大多数PC上运行它应该没有问题。

尽管我尚未在VMware环境中对其进行测试,但它也应该可以工作。(我就是用的vmware,导入方法看这篇博客: https://www.cnblogs.com/sn1per/p/11947433.html )

当前已将其配置为桥接网络,但是可以进行更改以满足您的要求。为DHCP配置了网络。

安装很简单-下载它,解压,然后将其导入VirtualBox即可。

https://download.vulnhub.com/dc/DC-1.zip

 

攻击机和靶机处在同一个网段,首先查看攻击机ip地址为192.168.59.130

image.png

使用nmap扫描同网段下的存活主机,可以看到除了kali自身以外,还有一台主机的ip地址为:192.168.59.129,猜测应该就是DC-1靶机的ip。

 

nmap +sn 192.168.59.0/24

 

image.png

接着使用nmap扫描探测目标主机的端口信息,可以看到目标主机开放了22,80以及111端口。

 

nmap -sV 192.168.59.129

 

image.png

访问下80端口的http服务,发现是一个Drupal的CMS,使用whatweb查看以下具体信息,发现Drupal的版本为7。

 

whatweb

 

image.png

image.png

 


 

使用searchsploit搜索Drupal 7的漏洞,发现如下漏洞及EXP

 

searchsploit Drupal 7

 

image.png

 


 

使用34992.py,此exp是利用SQL注入漏洞向drupal网站添加新的管理员帐户。 用法如下:

 

python /usr/share/exploitdb/exploits/php/webapps/34992.py -u test -p test -t http://192.168.59.129

 

利用此exp我向网站添加了一个用户名和密码都是test的管理员用户

image.png

使用test用户登陆网站,然后安装新模块, 从而使我可以在后端服务器上使用shell。有一个模块可以提供此功能,该模块为https://www.drupal.org/project/shell ,我安装并启用了此模块的7.x-1.0-beta5版本

image.png

访问shell模块对应的url,访问之后,可以在后端服务器运行命令,使用nc向kali提供反向shell,kali端成功监听到shell

image.png

image.png

现在,我开始检查是否有root权限。有很多技术可以做到这一点。其中之一是搜索root用户拥有的二进制文件,这是Linux中的一项功能,允许用户在特定用户的许可下执行文件。

要搜索具有的文件,我们运行“ find / -perm / 4000”命令。我发现“ find”命令由root用户拥有。另外,“find”命令具有“ -exec”选项,可用于运行命令。

image-20191128162156023.png

因此,我们运行以下find命令以获取具有“ root”用户权限的shell,并且可以读取root主目录中的 flag

image-20191128162402286.png

image.png

 
posted @ 2020-06-08 15:10  MTcx  阅读(156)  评论(0编辑  收藏  举报