DC系列靶機（一）

• DC系列靶機（一）
• • 1. 實驗環(huán)境
  • 2. 實驗過程
  • • 2.1 主機發(fā)現(xiàn)
    • 2.2 端口掃描
    • 2.3 開始滲透測試
    • • 2.3.1 嘗試?yán)?0端口
      • 2.3.2 嘗試搜索框架漏洞
      • 2.3.3 getshell后再次收集信息
      • 2.3.4 登錄數(shù)據(jù)庫并進(jìn)行查詢
      • 2.3.5 返回web頁面嘗試登錄
      • 2.3.6 查找特殊權(quán)限用戶
    • 2.4 提權(quán)
    • • 2.4.1 SUID提權(quán)
      • 2.4.2 具體操作
  • 3. 實驗總結(jié)

DC系列靶機（一）

1. 實驗環(huán)境

Kali Linux：192.168.253.129
DC-1靶機：未知
本地主機：win10

2. 實驗過程

2.1 主機發(fā)現(xiàn)

netdiscover -i eth0 -r 192.168.253.0/24

其中： -i 指定網(wǎng)卡 ； -r 指定網(wǎng)段。

arp-scan -l

其中：-l 指從網(wǎng)絡(luò)接口配置生成地址

nmap -sP 192.168.253.0/24

2.2 端口掃描

masscan --rate==10000 -p 0-65535 192.168.253.133

nmap -sV -O -T4 -p 22,111,80,42850 192.168.253.133

nmap -sV -O -T4 -A -p 22,111,80,42850 192.168.253.133

• 其中：-T4指定掃描過程中使用的時序（分為0-5等級）；
• -sV掃描版本的信息和開啟的服務(wù)；
• 也可以選擇帶-A參數(shù)，詳細(xì)掃描開放端口的具體服務(wù)；
• Masscan掃描速度快，為了防止漏掃，可以多掃描幾次；
• 與masscan相比，namp更詳細(xì)，但是速度較慢（可以通過masscan快速掃描，再使用nmap掃描具體開放的端口）

2.3 開始滲透測試

2.3.1 嘗試?yán)?0端口

訪問web頁面

Wappalyzer 是一款強大的網(wǎng)站技術(shù)棧嗅探工具。利用Wappalyzer 可以快速識別一個網(wǎng)站用到的前后端技術(shù)框架、運行容器、腳本庫等。

kali中的Dirb工具是用于web網(wǎng)站目錄爆破

在web滲透的過程中robots.txt是一個很重要的目錄，可以幫助我們查看網(wǎng)站的敏感路徑、敏感文件等，從中可以搜集到用于滲透的信息。

嘗試訪問以上這些網(wǎng)絡(luò)旁站和文件
訪問結(jié)果：第一種是版本信息、第二種是404頁面、第三種是需要進(jìn)行身份驗證才能訪問。

2.3.2 嘗試搜索框架漏洞

根據(jù)Wappalyzer掃描結(jié)果可以發(fā)現(xiàn)該服務(wù)器是由drupal框架搭建的，因此可以嘗試搜索該框架的漏洞。
Metasploit是一個免費的、可下載的框架，通過它可以很容易地獲取、開發(fā)并對計算機軟件漏洞實施攻擊。
它本身附帶數(shù)百個已知軟件漏洞的專業(yè)級漏洞攻擊工具。

利用搜索到的漏洞進(jìn)行攻擊


嘗試getshell：

利用python提升成一個吻交互式的shell：

python -c "import pty;pty.spawn('/bin/bash')"

成功getshell ！！！

2.3.3 getshell后再次收集信息

這里成功發(fā)現(xiàn)flag1.txt ！！！
嘗試打開該文件

打開該文件以后發(fā)現(xiàn)一句提示：每一個好的CMS框架都會有一個配置文件
搜索一下drupal框架的配置文件在哪里？
通過百度搜索到drupal框架的配置文件為settings.php
此時嘗試搜索settings.php文件的目錄

find / -name settings.php

嘗試打開settings.php文件

這里成功發(fā)現(xiàn)flag2 ！！！
并且得到提示：暴力破解和字典攻擊并不是獲得訪問權(quán)限的唯一方法(您將需要訪問權(quán)限)。你能用這些證書做什么?
除此之外，還發(fā)現(xiàn)了一個數(shù)據(jù)庫，以及登錄數(shù)據(jù)的一對用戶名和密碼：dbuser/R0ck3t

2.3.4 登錄數(shù)據(jù)庫并進(jìn)行查詢

查看數(shù)據(jù)庫中的信息：

show tables; 后發(fā)現(xiàn)一個數(shù)據(jù)表：users
然后查看該數(shù)據(jù)表：發(fā)現(xiàn)三個中的信息uid、name、pass

利用聯(lián)合查詢查看

這里發(fā)現(xiàn)了兩對用戶名和密碼，由于密碼進(jìn)行了加密，所以我們可以嘗試更換密碼
這就需要我們了解drupal框架所采用的加密方式
經(jīng)過百度查詢后：Drupal的安裝目錄中的scripts目錄下，有一些Drupal開發(fā)者準(zhǔn)備好的PHP腳本，可以執(zhí)行一些高級操作。其中有一個腳本名為：password-hash.sh，它的功能是傳入一個密碼（字符串），即返回加密后的密碼字符串。

利用password-hash.sh得到123的加密結(jié)果，嘗試將數(shù)據(jù)庫中兩個用戶的密碼進(jìn)行修改

2.3.5 返回web頁面嘗試登錄

利用admin/123成功登錄，并尋找有用的信息



這里成功找到flag3 ！！！
并得到一句提示：特殊的權(quán)限可以幫助你發(fā)現(xiàn)隱藏的內(nèi)容。

2.3.6 查找特殊權(quán)限用戶

/etc/passwd文件中存儲了系統(tǒng)中所有用戶的基本信息，并且所有用戶都可以對此文件執(zhí)行讀操作。

發(fā)現(xiàn)一個特殊的用戶flag4，并且其該用戶信息儲存在/home/flag4中
嘗試訪問/home/flag4

這里成功找到flag4 ！！！
并且得到一句提示：需要我們找到root目錄下的flag
因此這里需要進(jìn)行提權(quán)！

2.4 提權(quán)

2.4.1 SUID提權(quán)

什么是SUID？
SUID：Set User ID 是一種權(quán)限類型，允許用戶使用指定用戶的權(quán)限執(zhí)行文件。那些有suid權(quán)限的文件以最高的權(quán)限運行。假設(shè)我們以非root用戶訪問目標(biāo)系統(tǒng)，并且我們發(fā)現(xiàn)二進(jìn)制文件啟用了suid位，那么這些文件、程序、命令可以以root權(quán)限運行，SUID的目的就是：讓沒有相應(yīng)權(quán)限的用戶運行這個程序時，可以訪問沒有權(quán)限訪問的資料。
SUID提權(quán)的利用

#以下命令將嘗試查找具有root權(quán)限的SUID的文件，不同系統(tǒng)適用于不同的命令，一個一個試 find / -perm -u=s -type f 2>/dev/null find / -user root -perm -4000-print2>/dev/null find / -user root -perm -4000-exec ls -ldb {} \;

其中： -perm：按照文件權(quán)限來查找
已知的可以用來提權(quán)的Linux可執(zhí)行性文件列表如下：
nmap、vim、find、bash、more、less、nano、cp

2.4.2 具體操作

搜索可執(zhí)行文件，發(fā)現(xiàn)可以用來提權(quán)的可執(zhí)行文件find

然后創(chuàng)建一個新的文件，利用find命令進(jìn)行提權(quán)

find 1 -exec "/bin/sh" \;

這里成功提權(quán)，訪問root目錄下的文件

這里成功得到最終flag ！！！

3. 實驗總結(jié)

對Suid提權(quán)有了更深的理解：SUID是Linux的一種權(quán)限機制，具有這種權(quán)限的文件會在其執(zhí)行時，使調(diào)用者暫時獲得該文件擁有者的權(quán)限。如果擁有SUID權(quán)限，那么就可以利用系統(tǒng)中的二進(jìn)制文件和工具來進(jìn)行root提權(quán)。

總結(jié)

以上是生活随笔為你收集整理的DC系列靶机（一）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。