1:直接复制粘贴到URL,这没什么好说的https://www.vulnhub.com/?q=DC-,咱只要DC1,空间够的可以下载下。
解压下来,后缀是ova,直接用VMware打开,导入虚拟机
下一步,把DC-1的网络连接模式换为NAT连接,让它和kali在一个网段,保证kali可以到扫这个ip
到这里准备工作就做完了,这也没什么好说的。
出现这个界面就成功打开了。
1.老样子先信息收集,把能得到的全部拿完,这个命令是探测网段内的所有IP地址和MAC地址,咱只用IP,可以先看一下靶机的MAC地址,确定128是靶机的IP。(对于某些情况来说,CTF和各种网安比赛,你是看不到这一项的)
arp-scna -l
2:直接使用下面这段语句,来查看靶机的开放端口和服务信息
nmap -sV -p- 192.168.52.128
3:看到开放了22和80端口,我们使用kali自带的火绒来让访问一下靶机的IP,看看有什么样的东西有一个登录界面
先尝试弱口令密码试一下
不行,运气不好,没进去,检查一下网页的源代码,看看有啥好东西没 一般来说可以看到好多好多协议或者使用的服务之类的东西
找到了,在网络里面,有点小,放大看看
这句话证明这个网页是基于drupal框架写的,kali看看能不能找到可以利用的漏洞。
终端打开msfconsole
msfconsole
每次打开的都是不一样的,认准msf6就可以,这个6也不一定
搜索一下可用的漏洞 search drupal 我们使用2018年这个漏洞
直接use 1,然后show options查看一下需要配置漏洞模块儿参数
设置被攻击机的IP地址,RHOSTS
set RHOSTS 192.168.52.128
设置之后直接run,稍微等待一会儿
成功进入meterpreter,其实这个就是windows的文件管理界面,但是不会显示
直接ls一下,看到一个好东西
cat flag1.txt
拿到第一个flag了,接下来第二个,他上面提示了,让看看配置文件,一个一个查
找了好久找到这个setting.php的文件,cat打开
得到了flag2,同时也好像拿到了MySQL数据库的账号和密码。然后我们shell一下,在再输入一下内容python -c 'import pty; pty.spawn("/bin/bash")',这段代码的意思是获得一个交互式的shell,
python -c 'import pty; pty.spawn("/bin/bash")'
使用命令mysql -udbuser -pR0ck3t登录MySQL
使用命令来显示数据库show databases;,注意要是英文模式下输入
进入drupaldb数据库查看数据表信息,发现user可能有用,打开一下看看
像上面类似的密码,不知道加密方式,不知道加密几次,我们判断可知,用户密码密文的产生脚本是靶机中的/scripts/password-hash.sh,我们先退出MySQL,进入scripts目录
跟我们猜想的一模一样
再次进入MySQL更改密码
成功登录页面,拿到flag3
提示我们需要find查找flag文件
find / -name "*flag*"
进入home/flag4目录下,使用cat来打开
提示我们没有权限打开,需要提权root,使用命令
find / -perm -u=s -type f 2>/dev/null
这个find文件是有root权限的,可以连续读写可执行
提权,发现已经有root权限
成攻拿到最后一个flag
试想一下flag4该怎么办,刚刚我们已经提权成功了,那就试试返回去看看cat能不能打开flag4.txt文件
还是提醒无权限,再试试第二种方法,使用find来进行打开
到此,整个DC-1的flag已经拿完了,过程有点复杂,主要是提权和获得交互式shell难以理解,可以随时向博主提问,给你解答。
扫一扫
231
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
