磨蹭了一个多礼拜总算下决心开始写这玩意了,我会基于自己实际掌握的情况来写这个笔记,对于原先不会,通过打靶学习到的知识都会重点介绍。
首先虚拟靶机是什么,其实这个就和我们先前安装的phpstudy一样,我们在phpstudy中测试、复现cms的漏洞,而虚拟靶机的集成度就更高一点,它一般是linux的虚拟机,里面带有已经配置好了的服务端,只需在vmware中把它运行起来,这台服务器就相当于在局域网中上线了,接下来就要用各种不同的技巧去进行渗透,并且找出这台服务器中由浅到深的各个flag。
那么先从搭建环境开始,直接双击运行它。
在vmware里设置好名称和路径,点击导入。
这里报错是正常情况,点击重试就行。
配置硬件,这里具体的各项参数可以看学院的课程。
试着开机看一眼,发现是Debian系统。
要去虚拟机设置-选项里把操作系统设置为Debian7.X,如果默认设置为其它,服务器是没法上线的。
上线后是一个登录界面。
接下来就可以打开kali了,因为kali和DC-1我都配置为了NAT模式,这两台机器是在同一局域网中,所以用nmap扫描一下局域网,看看有没有什么发现。
kali的地址是192.168.197.139,扫描后发现192.168.197.140有一些开放的端口。
首先肯定是看看80端口,直接浏览器访问发现是个网站,用了Drupal的模板
可以对它进行目录扫描,或者直接翻一翻robots.txt这个文件,然后尝试访问下里面的路径
翻了一遍,这里Drupal的貌似是7.X的版本
这里要用到MSF,搜索Drupal相关的exploit脚本。
一个个试一下里面的东西,能够用在这个靶机的是drupal_drupalgeddon2这个脚本。
这里要设置TARGETURI和RHOSTS,分别对应安装目录和服务器地址。
成功建立会话,这里获得的是linux的命令行窗口。
找到当前目录下有flag1.txt。
flag1提示我们去看看网站的配置文件,找了一会儿,配置文件的路径为/sites/default/settings.php,这里有flag2,以及连接数据库的配置。
这里想连接却提示没有这个指令,得先输入shell进入控制台。
输入账号密码,但是这里又出现了问题,这里拿到的shell是没有交互性的,页面的显示无法传到我们的主机上,就导致没法查看数据库的内容。
可以通过这串python指令获得一个带有交互性的shell。
python -c "import pty;pty.spawn('/bin/bash')"
这时候再去连接数据库就能看到回显了。
用show databases;命令查看数据库,这里一定要输入分号,不然数据库会认为你输入还没结束。
然后不要傻乎乎的再去找information_schema了,直接用show tables;命令。
找到users表,这里显示出来是乱七八糟的,可以在指令后加上\G,将输出旋转90度。
select * from users\G;
找到admin账号,这里pass是加密过的,而且也不是普通的MD5之类的方法,目前是无法解密的。
只能回头再去翻一翻系统里的文件,看看有没有加密函数,最后成功在scripts目录下找到了password-hash.sh文件。
尝试运行一下,注意命令前要加点,然后是路径名,这里已经写明了用法了。
来生成一个abc123。
./scripts/password-hash.sh abc123
password: abc123
hash: $S$D6zKdj77b0cHJNL02.Tz7Uz2Oe9MKTWG/rum7119cBUtkCyYBfy1
去数据库中修改admin的密码。
修改完就可以去登录了。
发现flag3。
其实有点猜谜的成分,既然它说find passwd,那就来试着找一找,这里/表示根目录,因为linux没有盘符,所以设置根目录下搜索就等于搜索整台机器,然后设置文件名为passwd,找到这些结果。
etc下的passwd文件给出了flag4的路径
这里就讲的比较明白,下一个flag在系统的根目录下。
不过目前没有权限去访问,需要提权。
linux的提权我参考了别人的教程,我自己也不是很懂。输入这串指令查看默认拥有root权限的指令。
find / -perm -u=s -type f 2>/dev/null
看到里面有find指令,输入这串命令利用find提权。
find / -exec "/bin/bash" -p \;
获得一个拥有root权限的命令行。
去访问root下的the final flag,结束了。
万事开头难,这个靶场第一次看的时候就觉得头疼,放了一周鸽子后再回来看,发现其实没啥难度,可以说是入门级别了。之后有时间会再写点有意思的虚拟靶机的渗透笔记。
打赏我,让我更有动力~
© 2016 - 2024 掌控者 All Rights Reserved.