[渗透测试篇]Vulnhub之DC-1靶机从入门到入坑

0x01 前言

这是我第一次真正开始接触渗透测试的靶场,因为之前见过DC系列的靶机,于是我就决定以DC系列的靶机开始入门渗透测试,尽管目前都是基于大佬们的文章进行复现,但这并没有使我的兴趣有丝毫减少!

DC-1

实验环境

攻击机:kali
目标机:DC-1
涉及工具

• Netdiscover
• Droopescan
• Searchsploit
• MetaSploit

0x02 渗透思路

思路1:

1.找到IP地址(netdiscover)
2.收集靶机信息(nmap+droopescan+searchsploit)
3.利用已知漏洞进行测试(metasploit)
4.提权(参考的g0tmi1k大佬的getshell文章)
5.找到thefinalflag.txt

思路2(今天不做验证):

1.找到IP地址(arpscan)
2.信息收集(nmap+google)
3.查找利用点(metasploit)
4.利用(meterpreter)
5.flag1.txt->flag2.txt->flag3.txt->flag4.txt
6.找到thefinalflag.txt

渗透姿势(思路1)

这里的实验姿势是按照思路1来进行的:

1 netdiscover

首先用netdiscover工具找到目标IP地址

2.1 Nmap

在得到目标IP地址后,对目标进行信息收集,直接上nmap

kali:@kali2019:/# nmap -sC -sV 192.168.43.152
#-sC:可以指定脚本参数,这里采用的是default模式
#-sV:可以在进行端口扫描的时候检测服务端软件的版本信息。
     #版本信息将使后续的漏 洞识别工作更有针对性。

在nmap的扫描结果中,得到以下信息:

• 80端口 www服务
• 22端口 ssh
• 站点使用的了 Drupal CMS 版本为 v7

2.2 Droopescan

这步开始对上一步nmap收集到的信息进行测试,因为之前对80端口和22端口的渗透姿势有过了解,所以今天换种食用方式 从站点上的Drupal入手.

需要工具droopesacn获取地址
以下有它的简介,可以了解一下:

用以下命令对Drupal进行探测识别:

kali:@kali2019:/# droopescan scan drupal -u http://192.168.0.185/

感觉有点慢,可能是因为我我这网络不太好,两三分钟后得到了以下信息:

从探测结果中我们获取到很有用的信息:

• 有登录框(常用:弱口令/爆破)
• 后端脚本语言 PHP
• drupal的版本号, 7.22 ~ 7.26

2.3 Searchsploit

在上一步中droopescan工具的辅助下,我们拿到建站服务Drupal的版本,可以用kali自带的工具Searchsploit 看看有没有现成的exp:

kali:@kali2019:/# searchsploit drupal 7

在上面查找结果中发现了可以利用的漏洞
Drupal Drupalgeddon Forms API Property Injection

想深入的请移步这里CVE-2018-7600漏洞详情

3 Metasploit

既然找到了能利用的exp,去msf中看看有没有对应的模块

msf > search Drupalgeddon 

然后设定靶机IP,尝试getshell

4 getshell(meterpreter)

到了这一步,我们已经成功的与靶机创建了Meterpreter会话,但是在获取交互式shell的时候发现有限制,于是只好求助我的便宜师傅(Google)了,最终找到了g0tmi1k大佬关于Linux提权的文章,先收藏起来,今天只针对这个实验进行定向了解.
g0tmi1k的博客

当前目标是获取交互式shell,以下这条命令可以帮助我们:

python -c 'import pty;pty.spawn("/bin/bash")'

获得交互式shell成功,还记得题目中说的thefinalflag.txt在root的home目录下,先来看看都有home目录下都有哪些文件:

www-data@DC-1:/var/www$ find /root

看来题目简介确实没有骗我们, thefinalflag.txt就在眼前,啥也不管了,先来cat一波:

www-data@DC-1:/var/www$ cat /root.thefinalflag.txt

哦豁,读取失败.
只好换种姿势了(开始懵逼)
以下操作全是参考大佬的文章进行,毫无灵魂地复现
暂且先拿下靶机,至于关于原理的学习,等后面正式学Linux提权地时候补上.

www-data@DC-1:/var/www$ find /root/thefinalflag.txt -exec cat {} \;

成功拿下!

0x03 结语

思路1的渗透过程到此就结束了,通过这次DC-1的渗透练习,突然觉得,有些知识越学越难以理解,但同时也激发了我对这些知识的好奇(入坑成功).
看来古人诚不欺我,学无止境,大概也就如此吧!

参考资料
CVE-2018-7600
medium
g0tmi1k大佬的博客